美国当地时间本周二,微软公司向用户警告了二个安全缺陷,并表示正在对第三个可能的缺陷进行调查。 一个安全问题与以前版本的IE在Windows ME和Windows 2000上处理WMF 图像有关。微软在安全公告中说,这一缺陷只存在Windows 2000 SP4+IE 5.01平台和Windows ME SP2+IE 5.5 平台。 只要在网站、电子邮件、图像浏览软件中浏览恶意图像,用户就会受到攻击。
微软称,成功地利用该缺陷的黑客能够完全控制受影响的系统。 微软表示,这一WMF 缺陷可能与以前的与WMF 相关的缺陷相似,但它们并不相同。上个月,微软发布了一款补丁软件,修正了被黑客用来在Windows PC上安装间谍件的缺陷。 微软建议,为了解决新的WMF 问题,用户应当升级到IE 6+SP1,并表示它可能发布一款补丁软件。 在第二份安全公告中,微软警告称Windows XP和Windows Server 2003 存在用户访问权限“膨胀”的问题,这一问题只存在于没有安装最新服务包的系统上。权限较低的用户可以利用该缺陷运行正常情况下要求较高权限的软件和命令。 微软建议在Windows XP上安装SP2 、在Windows Server 2003 上安装SP1 ,或以手动方式修改4 个受影响的Windows 组件的访问权限。 除了发布安全公告外,微软的一名代表在本周二表示,微软正在对HTML Help Workshop中第三个可能的缺陷进行调查。利用该缺陷的攻击代码已经被公开发布出来。 安全厂商Secunia 公司在一份安全公告中说,成功的攻击可能使黑客完全控制存在缺陷的计算机。 据微软称,该缺陷影响的范围非常有限,因为受影响的软件只被软件开发人员使用,而且也不是Windows 的一部分。 这名代表说,微软最初的调查显示,没有安装HTML Help SDK 的客户不会受到该问题的影响
