Word2000漏洞补丁仍未发布

本周二，微软针对三个安全漏洞发布了补丁，但是不包括目前正被Cyber攻击所利用的Word 2000漏洞。

作为其每月补丁周期的一部分，微软针对Office和Windows用户发布了相应更新以修复三个安全漏洞，这个数目比以往月份大为减少了。软件开发师把Office的问题定级为最高级的“危急”，而Windows问题的严重性级别则稍低。

漏洞管理软件商Qualys的研究主管Amol Sarwate说，“在我们看来，未发布的比已发布的更重要”，他说，“我们首先注意到的就是针对微软Word漏洞的补丁没有发布，他们（微软公司）没有足够的时间来研制补丁”。

微软上周发布警报称，有攻击者利用先前未被掌握的Word 2000安全漏洞进行Cyber攻击。这些攻击都来源于特制的Word文件，攻击者利用电子邮件附件或其他手段把这种文件传递给攻击目标。微软曾表示他们正在研制补丁，但在9月6日发布的一份安全报告中，它并未给出发布补丁的时间表。

这个仍待处理的Word 2000漏洞与微软周二所处理的Office漏洞极其类似。根据微软发布的MS06-054安全公报，该Office漏洞存在于Office 2000、Office XP和Office 2003的Microsoft Publisher软件中。攻击者可以利用这个漏洞， 特制一个恶意的Publisher文件并诱使用户打开（如嵌入在某个网页上或通过电子邮件发送等）以进行攻击。

微软称，“攻击者一旦成功利用该漏洞，将取得对受感染系统的完全控制权”，“因此我们建议用户尽快安装升级补丁”。

Publisher是微软推出的桌面出版应用软件。软件开发师建议，所有Office用户不管是否安装了Publisher软件，都要安装该补丁，因为其他的Office软件也要使用一些相同的受感染文件。

微软称，本周二补丁所解决的两个Windows漏洞中，其中一个可允许攻击者远程控制受感染电脑，另一个将导致用户信息泄露。

根据微软发布的MS06-052安全公报，Windows XP系统中的一个数据传递协议存在漏洞，攻击者可利用该漏洞，发送一个特制的数据包来劫持用户系统。但是微软同时表示，该实际通用组播协议（PGM协议）是微软3.0版信息队列工具的一部分，它在默认状态下是关闭的。

据微软MS06-053安全公报称，前述信息泄露缺陷是由于微软的索引服务中存在一个跨网站脚本漏洞（CSS）引起的。微软称，攻击者可利用该漏洞在受感染电脑上运行脚本代码，并进而进行欺骗、泄露用户信息，或在某个特定网页上进行用户可以进行的任何操作。

这些补丁可在网上下载并将通过微软的自动更新服务推出。关于仍未发布补丁的Word漏洞，Qualys建议Windows用户安装多层次的安全软件并注意在打开电子邮件的附件时务必万分谨慎。

标签： 安全 代码 电子邮件 脚本 漏洞 网站 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。