【大紀元12月24日報導】(中央社記者韋樞台北二十四日電)資訊安全廠商賽門鐵克安全機制應變中心指出,這兩天電子耶誕卡滿天飛,不過千萬不要急著打開,因為微軟作業系統被發現三個新漏洞,雖然這些漏洞還有待微軟證實,也尚無相對應的修補程式,但研判這些漏洞會帶來高度風險,千萬不要隨意開啟來路不明的電子郵件。
賽門鐵克表示,第一個漏洞是可以從遠端利用的視窗影像處理漏洞,存在於網頁瀏覽器或電子郵件用戶使用的LoadImage API指令中。只要使用者瀏覽惡意網站或開啟含有惡意圖片的HTML電子郵件,並且瀏覽圖片,這個漏洞即可能被駭客成功利用,不需其他的互動行為。
第二個漏洞存在於用來處理Windows Help files(.hlp) 的winhlp32.exe應用程式中。這個漏洞起因於分析惡意Help file的解碼錯誤,這些錯誤將導致堆積溢位 (heap-based buffer overflow),駭客會透過電子郵件或惡意網站的Help files以利用此漏洞。
第三個漏洞會導致阻絕式服務攻擊。不論藉由電子郵件或惡意網站利用此漏洞都會造成系統當機,接著會重新開機。成功利用此漏洞的駭客,只需引誘使用者瀏覽惡意網站或電子郵件,不必其他的互動行為。
賽門鐵克指出,在這些漏洞被修補前,凡是採用微軟視窗平台套裝軟體的網路相關互動都可能受到影響。用戶應立即更新病毒定義檔,不要瀏覽不明網站,或開啟來路不明的電子郵件並讀取訊息,只讀取純文件格式的郵件訊息,以免溫馨的耶誕祝福變成害人的麻煩。
