【转贴】利用新Windows漏洞的範本出爐

greatranger

CNET新聞專區：Robert Lemos　　24/12/2004            

一群中國安全研究員已發布範例程式碼，解說如何利用微軟Windows作業系統兩個尚未修補的新漏洞。

此時適逢耶誕節前夕，眾多企業和家庭使用者無暇應付電腦安全問題。但安全公司賽門鐵克(Symantec)23日提醒客戶注意此安全漏洞，因為有一家中國公司發現，有關新漏洞的訊息已被被人張貼上網。

其中一個弱點隱藏在Windows的載入圖片(LoadImage)功能，可能讓駭客趁電腦正在顯示某網頁或電子郵件內含的特製影像圖形時，入侵受害者的電腦。另一功能隱含在Windows的說明(Help)程式，可能影響任何開啟說明檔的程式。

由於此漏洞潛在於Windows程式共用的程式庫(library)，影響遍及幾乎所有的瀏覽器和電子郵件用戶端程式。

賽門鐵克資深工程經理Alfred Huger說：「這兩個問題相當嚴重，只要是處理影像或讀取說明檔，都可能受影響。」

因為現在外面已有示範如何利用新安全漏洞的樣本程式碼，或稱「利用程式碼」( exploit code)，據Huger推測可能很快就會被收入惡意使用者的工具箱內。

「外頭已有利用程式碼，令人非常不安，」他說：「我預見不久之後，就會有網路釣魚(phishing)騙局和間諜程式(spyware)利用這些漏洞。」

此外，藉電子郵件大量傳發的電腦病毒，也可能利用新弱點快速擴散。

微軟尚未對此問題發表評論。

中國安全論壇Xfocus Team 23日把有關新漏洞的問題張貼在該網站上，消息於是傳開。最先發現此安全漏洞的是中國的VenusTech公司，該公司周一(20日)把此訊息公布在網路上。

軟體公司和企業IT人員通常在耶誕假期時人手不足，那意味對新一波威脅的應變反應可能比較遲緩。Huger說：「此問題出現的時機真是煞風景。」（唐慧文）

maudly

呵呵,哪有不出漏洞的系统啊

birdsting

M$有漏洞絻不出奇, 沒有漏洞則是大新聞