記者/李季鴻
微軟於23日發佈緊急安在全公告,指出已出現一項有關SSL漏洞的攻擊程式。
SSL是一種加密技術,長運用許多銀行及商店的網路交易過程中,微軟指出,該惡意程式將針對SSL的漏洞,使用並攻擊SSL的程式。雖然 SSL 通常和其Web Serve IIS有關,但是所有在平台上執行 SSL 的服務都有可能會受到此弱點而受到攻擊。
其中,微軟所有使用 SSL (連接埠 443) 的產品都有可能會受到惡意程式的攻擊。這些產品包括IIS 4.0、5.0、5.1、Microsoft Exchange Server 5.5、Microsoft Exchange Server 2000、2003、Microsoft Analysis Services 2000和使用 PCT的協力廠商應用程式。
微軟並無明確地劃分漏洞的風險級別,但表示,若使用微軟所提出的修補進行了系統更新,則公司將不會再有危險。微軟安全反應中心安全專案經理Stephen Toulouse指出,開啟個人防火牆的用戶將面臨較低的風險。
對於微軟的表現,部分安全人員對微軟這樣的處理略有怨言,認為微軟的策略較著眼於公關形象,對於客戶的安全便利有所忽略。
如eEye數位安全駭客長Marc Maiffret便指出「這樣的作法顯示微軟進來的安全新策略:寧可讓客戶的漏洞空著不補,等到累積到程度再一次發出修補檔,使外界產生漏洞變少了的印象。」
面對外界的質疑,微軟則指出:其實微軟早已發佈許多漏洞的安全公告,不過許多企業往往疏忽而未加以修補,最後導致發生Slammer的重大災害。為免類似狀況一再發生,微軟安全反應中心一但在發現網路上出現有針對微軟漏洞的惡意程式下載後,將立即再次提醒企業用戶小心防範。
台灣微軟針對此事件則公布下載修補程式網址:如http://www.microsoft.com/taiwan/security011.asp(中文版),上線後選擇「自動更新」,或立刻下載MS04-012、MS04-013與MS04-014補充程式,便能填補漏洞。