無責任投資論壇

評析：大家小心了！

微軟視窗安全漏洞 災情擴大

【編譯劉煥彥／綜合紐約四日電】

視窗作業系統上周被發現的嚴重漏洞，導致網路攻擊逐漸增多，但微軟公司要等到1月10日才會發出修補程式，眾多沒有保護的網路族未來一周將暴露在高度威脅中。

電腦安全專家表示，這個漏洞存在於視窗作業系統開啟Windows Meta File圖片的過程，使用者只要不小心點進含有惡意圖片檔的網站，個人電腦就可能受到感染。

資訊安全廠商賽門鐵克表示，12月27日（上周二）發現的這個漏洞，可以被電腦駭客透過電子郵件、即時傳訊與網站用來傳播廣告軟體和間諜軟體。

這項最新視窗系統漏洞，影響範圍包括Windows XP、Windows 2000與Windows NT等系統。

德國馬德堡（Magdeburg）大學防毒軟體專家馬克斯（Andreas Marx）指出，超過100萬台個人電腦已經被感染。他發現一個隱密網站，網站上呈現安裝惡意軟體的程式已經被傳送至易受攻擊的個人電腦的數量。

微軟對此則表示，目前正在測試修補程式，並製成23國語文版本，預定於10日對外公布，是該公司每個月定期提供視窗安全更新軟體的計畫一部分。

微軟在聲明中說：「儘管這件事很嚴重，有人也嘗試惡意攻擊，但微軟的消息來源顯示攻擊範圍並不廣泛。」

然而業界人士持不同看法。軟體大廠組合國際（Computer Associates）副總裁柯瑞（Sam Curry）說：「這個漏洞已普遍流傳於駭客之間，而且容易被利用。這件事絕對不可輕忽，時間非常寶貴。儘快發出修補程式才是負責任的行為。」

賽門鐵克資深工程主管休格（Alfred Huger）則於公司聲明中寫道：「攻擊者有七天機會運用這個漏洞，可能造成廣大且嚴重影響。大家對網站與電子郵件應該非常小心。」

賽門鐵克建議，個人電腦使用者關掉電子郵件軟體的預覽功能，啟動入侵偵測軟體，並避免點選不明人士寄來電子郵件的網路連結。

在微軟發布修補程式之前的真空期間，美國電腦安全機構SANS Institute已透過旗下的網際網路風暴中心（Internet Storm Center），提供自己製作的的修補程式給網路族使用。

SANS Institute研究總監帕勒（Alan Paller）說：「微軟的緩慢行動不可原諒。除了無能與疏忽之外，沒有任何藉口。」

【2006/01/05 經濟日報】