台灣微軟上週發佈六月定期安全公告以及10個安全補充程式,為2003年以來修補最多漏洞的一次更新。其中包含6個重大等級的更新,2個與Windows相關、3個與Office相關以及與IE相關的修補程式,包含IE 8在內。值得注意的是,Microsoft DirectShow弱點仍尚未被修補,而上月底發佈的IIS漏洞警報則下修為重要等級。
賽門鐵克指出,本次最重要的應為針對瀏覽器IE進行的修補,其中包含了IE8首次的弱點更新。其中4個與HTML物件記憶體毀損(HTML object memory corruption)相關的弱點相當容易受到駭客的利用,賽門鐵克曾在惡意程式工具組中,觀察到利用類似的弱點發動攻擊。McAfee北亞太網路安全產品總監Jason Yuan則指出,過去瀏覽器停用Java Script、Active X等功能可以避免部分網頁掛馬的攻擊,而此次卻無法倖免。且此次IE 的漏洞,Safari與FireFox也都有,皆是在今年3月的PWN 2 OWN競賽中被公佈,然FireFox隨後即發佈更新修補,微軟至今才釋出修補程式。
尤其,此次除了共修補31個弱點之外,Microsoft DirectShow仍有弱點未被修補。攻擊者可利用此弱點在影片檔中夾帶惡意程式再張貼上網或夾帶在電子郵件附件當中,雖然此非瀏覽器弱點,但只要瀏覽器的外掛程式使用DirectShow,且瀏覽到某些會自動播放影片的網站,仍可能輕易遭受攻擊。微軟已發佈安全通報(971778)提供臨時防禦辦法。
Yuan進一步指出,不只是DirectShow這類尚未被解決的漏洞,即使是正式釋出的修補程式對許多企業來說都須經過一番QA測試流程,才能安裝。而這段時間可以透過網路入侵防禦系統(NIPS)來阻擋可能的攻擊。對一般使用者而言,除了安裝正版防毒軟體,並使用自動更新程式來立即更新之外,也建議不要讓每位使用者都擁有最高權限,以避免駭客利用系統弱點遠端控制使用者電腦,並減少資料外洩可能性。