微软日前发布补丁程序,解决PowerPoint的一项重大安全弱点。 这个问题被列为Office 2000的重大(critical)安全弱点,但对Office XP、Office 2003和Office 2007而言只被列为重要(important)安全弱点。不过,有鉴于这个安全漏洞已构成锁定目标攻击(targeted attacks)的基础,促使微软在上个月发布安全警告。 微软表示,Windows版PowerPoint的这项安全漏洞已修补好了,但Mac版Office和微软入门级办公软件Microsoft Works的补丁程序仍在着手制作中。 微软安全应变通讯领导人Christopher Budd发表声明说:最新的Office for Mac以及 Microsoft Works 8.5与9.0更新仍在开发之中,微软计划在测试完成后发布这些软件的更新,以确保高品质。我们分批发布安全更新,是因为积极攻击Windows平台使用 者的exploits已出现。 这项安全漏洞若未修补,使用者开启有问题的PowerPoint文档时,PowerPoint会存取无效的记忆物件(object in memory),这可以让攻击者自远端在系统上执行程序代码。 最新补丁程序随微软定期在每月Patch Tuesday日发布的更新一并推出。 微软表示,安装更新后,Microsoft Office PowerPoint 2000以及Office PowerPoint 2002里的预设环境里,将关闭可开启PowerPoint 4.0格式文档的功能。(微软PowerPoint 2003 Service Pack 3的预设环境已经关闭那个选项,而PowerPoint 2007里并不提供这项功能。) 微软指出,此安全弱点在PowerPoint 2002以后的版本必须先征询使用者同意,才能开启文档,所以未被列为重大安全漏洞。 赛门铁克(Symantec)表示,这项PowerPoint补丁程序大致与比较旧的文档格式瑕疵有关。赛门铁克安全应变副总裁Alfred Huger说:要利用这些弱点,必须叫唆使用者开启恶意制作的PowerPoint文档,所以电子邮件也许是黑客最可能使用的工具。另一种可能,是黑客引 诱受害人从被误导或被下毒的网站下载文档,然后黑客再运用使用者的帐号为所欲为。 Lumension资安分析师Paul Henry提醒企业IT人员,除了微软之外,也应该注意Google、F-Secure、Adobe、惠普、赛门铁克、Mozilla等软件制造商发布的各种热门应用程序的安全更新,以有效降低安全风险。 |
