【TechTarget中国原创】微软本周二修复了Excel中的一些漏洞,并发出新的IE零日漏洞攻击预警。
微软三月补丁更新中发布了两个补丁,修复了影响到Microsoft Windows和Office的八个漏洞。除此之外,微软还发出了IE零日漏洞攻击预警,将影响到IE 6和IE 7。
这项IE预警透漏称微软工程师正在调查新报告中的IE零日漏洞。微软安全响应中心MSRC的高级通信经理主管Jerry Bryant称,IE 8用户和运行Windows 7、Windows Vista或Windows Server 2008的用户不会受到这次漏洞的影响。
Bryant在MSRC博客中称,“我们目前还未发现任何主动攻击,但我们鼓励用户查阅这次的公告并在可能的情况下采纳推荐的变通方式。”
公告中称,攻击者试图用鱼叉式网络钓鱼邮件攻击方式来利用这一漏洞。邮件信息试图诱导用户点击其中的恶意网站链接。微软称,一旦受害者访问了恶意网站,恶意软件和其他的代码将加载到它们的机器上。微软提出了一系列阻截这种攻击的变通措施,包括将网络安全区设置到高级别,并关闭活动脚本。
Excel、Movie Maker漏洞
这次的两个补丁修复了 Microsoft Excel中的七个漏洞和Windows Movie Maker中的一个错误,攻击者可能利用它们来达到完全控制受害者机器的目的。
虽然这两个补丁被列入重要级别,它们在Microsoft Exploitability Index(微软攻击性索引)中却被标为第一级,这意味着这些漏洞将成为极具吸引力的攻击对象,并经常被利用。
MS10-017修复的漏洞影响到Microsoft Office Excel的所有当前的支持版本。微软称这一补丁列入了重要级别,并且还影响到Mac上的Office 2004和Office 2008。Excel包含了一些内存破坏漏洞,包括一个堆溢出漏洞和一个文件解析漏洞。
MS10-016对处理Windows Movie Maker和Microsoft Producer 2003中的漏洞的项目文件进行了修复。用户一旦打开恶意的Movie Maker或Microsoft Producer项目文件,攻击者就可对该用户展开攻击。这种恶意代码可以创建缓冲区溢出条件,并让攻击者完全控制机器。微软的Bryant说,Producer 2003是免费发布的,并没有接收到更新。
Bryant说:“我们建议用户要么卸载这一应用程序,要么部署一个可用的Microsoft Fix It来将该项目文件类型从这一应用程序中分离出来,以添加一个额外的安全层。”