【大.纪.元;12月24日报导】(中央社记者韦枢台北二十四日电)资讯安全厂商赛门铁克安全机制应变中心指出,这两天电子耶诞卡满天飞,不过千万不要急着打开,因为微软作业系统被发现三个新漏洞,虽然这些漏洞还有待微软证实,也尚无相对应的修补程式,但研判这些漏洞会带来高度风险,千万不要随意开启来路不明的电子邮件。
赛门铁克表示,第一个漏洞是可以从远端利用的视窗影像处理漏洞,存在于网页浏览器或电子邮件用户使用的LoadImage API指令中。只要使用者浏览恶意网站或开启含有恶意图片的HTML电子邮件,并且浏览图片,这个漏洞即可能被骇客成功利用,不需其他的互动行为。
第二个漏洞存在于用来处理Windows Help files(.hlp) 的winhlp32.exe应用程式中。这个漏洞起因于分析恶意Help file的解码错误,这些错误将导致堆积溢位 (heap-based buffer overflow),骇客会透过电子邮件或恶意网站的Help files以利用此漏洞。
第三个漏洞会导致阻绝式服务攻击。不论藉由电子邮件或恶意网站利用此漏洞都会造成系统当机,接着会重新开机。成功利用此漏洞的骇客,只需引诱使用者浏览恶意网站或电子邮件,不必其他的互动行为。
赛门铁克指出,在这些漏洞被修补前,凡是采用微软视窗平台套装软体的网路相关互动都可能受到影响。用户应立即更新病毒定义档,不要浏览不明网站,或开启来路不明的电子邮件并读取讯息,只读取纯文件格式的邮件讯息,以免温馨的耶诞祝福变成害人的麻烦。
