記者/蘇伯方
日前(3/19)微軟警告使用者有關各個版本windows一個重大的漏洞(flaw),這個漏洞被微軟列為「極度嚴重」(critical)。有心的攻擊者將可以透過這個漏洞入侵windows使用者的電腦並且執行任何程式。
使用者如果已經使用Outlook 2002或者Outlook Express 6則這個攻擊不會自動執行,但是當使用者點選郵件中的連結,仍然有可能被攻擊者入侵。但是使用Outlook Express或者Outlook 2000的使用者如果沒有執行過Outlook Email Security Update,則一旦瀏覽該郵件,有問題的腳本指令碼將會自動執行,將權限洩漏出去。
微軟的安全性警告分為四個等級,「低度(low)」、「中度(moderate)」、「嚴重(imprtant)」、「極度嚴重(critical)」。而這次被列為「極度嚴重」的漏洞來自微軟自己版本的腳本引擎元件(Script Engine),攻擊者可以透過E-mail方式讓使用者掉入陷阱,因而擁有與上當使用者相當的權限來執行攻擊者自己的任何程式。
腳本引擎主要是讓作業系統擁有執行指令碼的能力。腳本指令碼(Script)可以用於將功能加入網頁,或將作業系統或程式內的工作自動化,例如VBscript或者用於網頁的Javascript。而這次的問題主要來自微軟版本的JScript,一種ECMA 262語言規格(ECMAScript Edition 3) 的Microsoft實作。因為一個沒有經過確認的緩衝區被發現可以造成溢位(buffer overrun),因此程式的執行權限會被攻擊者奪者。
攻擊者只要建構一個網頁,內含特殊的腳本指令碼。然後攻擊行動可以透過兩個方向進行。首先,攻擊者可以將網頁裝載於網站上;當使用者造訪該網站時,網頁就會啟動腳本指令碼並利用該漏洞。其次,攻擊者可以將網頁當作 HTML 郵件加以傳送。只要收件者開啟該郵件,此網頁就會試圖呼叫功能並利用該漏洞。
這是本月微軟的第二個安全漏洞,其他的漏洞可以在微軟安全性公告找到相關資訊並且下載更新。