close
ZDNET新聞專區:Ina Fried 2009/05/13 13:02:02

微軟公司12日釋出修補程式,解決PowerPoint的一項重大安全弱點。

這個問題被列為Office 2000的「重大」(critical)安全弱點,但對Office XP、Office 2003和Office 2007而言只被列為「重要」(important)安全弱點。不過,鑑於這個安全漏洞已構成鎖定目標攻擊(targeted attacks)的基礎,促使微軟在上個月發布安全警告。

微軟表示,Windows版PowerPoint的這項安全漏洞已修補好了,但Mac版Office和微軟入門級生產力軟體Microsoft Works的修補程式仍在著手製作中。 

微軟安全應變通訊領導人Christopher Budd發表聲明說:「最新的Office for Mac以及 Microsoft Works 8.5與9.0更新仍在開發之中,微軟計劃在測試完成後發布這些軟體的更新,以確保高品質。我們分批釋出安全更新,是因為積極攻擊Windows平台使用者的exploits已出現。」

這項安全漏洞若未修補,使用者開啟有問題的PowerPoint檔案時,PowerPoint會存取無效的記憶物件(object in memory),這可以讓攻擊者自遠端在系統上執行程式碼。

最新修補程式隨微軟定期在每月「Patch Tuesday」日發布的更新一併釋出。

微軟表示,安裝更新後,Microsoft Office PowerPoint 2000以及Office PowerPoint 2002裡的預設環境裡,將關閉可開啟PowerPoint 4.0格式檔案的功能。(微軟PowerPoint 2003 Service Pack 3的預設環境已經關閉那個選項,而PowerPoint 2007裡並不提供這項功能。)

微軟指出,此安全弱點在PowerPoint 2002以後的版本必須先徵詢使用者同意,才能開啟檔案,所以未被列為「重大」安全漏洞。

賽門鐵克(Symantec)表示,這項PowerPoint修補程式大致與比較舊的檔案格式瑕疵有關。賽門鐵克安全應變副總裁Alfred Huger說:「要利用這些弱點,必須叫唆使用者開啟惡意製作的PowerPoint檔案,所以電子郵件也許是駭客最可能使用的工具。另一種可能,是駭客引誘受害人從被誤導或被下毒的網站下載檔案,然後駭客再運用使用者的帳號為所欲為。」 

Lumension資安分析師Paul Henry提醒企業IT人員,除了微軟之外,也應該注意Google、F-Secure、 Adobe、惠普、賽門鐵克、Mozilla等軟體製造商發布的各種熱門應用程式的安全更新,以有效降低安全風險。(唐慧文譯) 
arrow
arrow
    全站熱搜

    深藍經典 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄