微软在今年2月定期漏洞修补中，推出12个修补程式，共修补了22个程式漏洞，其中有3个漏洞列为重大（Critical）。微软亚太区全球技术支援中心专案经理林宏嘉表示，这3个重大的漏洞修补中，包括IE 6、7、8未知的漏洞修补，以及修补图形引擎可隐藏恶意程式的漏洞，也修补伪造Open Type字型隐藏恶意程式供人下载的潜在风险。

　　编号MSE-003的重大漏洞主要是补强IE浏览器连上恶意网页的风险，这个漏洞先前并未公开。林宏嘉表示，对於终端用户而言，因为可以任意存取外部网页，浏览器相关漏洞影响性相对大，从Windows Server 2003之後，伺服器上开启IE会有其他保护机制，伺服器端IE风险较用户端小。

　　编号MSE-006则是Windows 7中Windows shell图形处理器的漏洞修正，林宏嘉说，从2010年发现该漏洞後，目前还无人成功利用此一漏洞完成攻击。至於编号MSE-007则是Open Type字型使用CSS驱动程式导致的漏洞，林宏嘉指出，主要是骇客伪造Open Type字型利用社交工程手法供人下载，并利用CSS驱动程式的漏洞隐藏恶意程式。但他说，Open Type字型容量小，这往往是骇客多重攻击手法的其中之一。

　　面对无法立即更新微软定期修补程式的企业，林宏嘉建议，可参考微软Microsoft Security Advisory（2501696）的修补建议，关闭MHTML协定，将内外网安全性等级提升为高，并封锁所有ActiveX控制项。

微信公众号

TechTarget

官方微博

TechTarget中国