资讯整理：http://www.zdnet.com.tw/news/software/0,2000085678,20138195,00.htm 微软公司於12日释出修补程式，解决PowerPoint的一项重大安全弱点。 这个问题被列为Office 2000的「重大」(critical)安全弱点，但对Office XP、Office 2003和Office 2007而言只被列为「重要」(important)安全弱点。不过，监於这个安全漏 洞已构成锁定目标攻击(targeted attacks)的基础，促使微软在上个月发布安全警告。 微软表示，Windows版PowerPoint的这项安全漏洞已修补好了，但Mac版Office和微软入门 级生产力软体Microsoft Works的修补程式仍在着手制作中。 微软安全应变通讯领导人Christopher Budd发表声明说：「最新的Office for Mac以及 Microsoft Works 8.5与9.0更新仍在开发之中，微软计划在测试完成後发布这些软体的更 新，以确保高品质。我们分批释出安全更新，是因为积极攻击Windows平台使用者的 exploits已出现。」 这项安全漏洞若未修补，使用者开启有问题的PowerPoint档案时，PowerPoint会存取无效 的记忆物件(object in memory)，这可以让攻击者自远端在系统上执行程式码。 最新修补程式随微软定期在每月「Patch Tuesday」日发布的更新一并释出。 微软表示，安装更新後，Microsoft Office PowerPoint 2000以及Office PowerPoint 2002里的预设环境里，将关闭可开启PowerPoint 4.0格式档案的功能。(微软PowerPoint 2003 Service Pack 3的预设环境已经关闭那个选项，而PowerPoint 2007里并不提供这项 功能。) 微软指出，此安全弱点在PowerPoint 2002以後的版本必须先徵询使用者同意，才能开启 档案，所以未被列为「重大」安全漏洞。 赛门铁克(Symantec)表示，这项PowerPoint修补程式大致与比较旧的档案格式瑕疵有关。 赛门铁克安全应变副总裁Alfred Huger说：「要利用这些弱点，必须叫唆使用者开启恶意 制作的PowerPoint档案，所以电子邮件也许是骇客最可能使用的工具。另一种可能，是骇 客引诱受害人从被误导或被下毒的网站下载档案，然後骇客再运用使用者的帐号为所欲为 。」 Lumension资安分析师Paul Henry提醒企业IT人员，除了微软之外，也应该注意Google、 F-Secure、 Adobe、惠普、赛门铁克、Mozilla等软体制造商发布的各种热门应用程式的 安全更新，以有效降低安全风险。 -- 寂寞部屋之意慾蔓延 http://www.wretch.cc/blog/cyc1119 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.173.193.20