微软已经发布了一个安全公告警告,关于在Windows图形绘制引擎(Graphics Rendering Engine)中公开披露的漏洞,该漏洞可被用于驾车袭击(drive-by attacks)。
这个漏洞会对Windows XP,Windows Server 2003和2008,以及Windows Vista的用户产生影响。
微软表示,还没有检测到任何黑客针对该漏洞的恶意攻击。该安全漏洞可被用于驾车袭击(drive-by attacks)或者诱骗用户打开一个恶意的Word或PowerPoint文件。微软还表示,如果远程代码执行漏洞被成功利用,那么一个黑客可以实现对受害者电脑的完全控制,可以安全其他的恶意软件、窃取数据等。
该漏洞是在Windows为运行一个应用程序对一个对象进行访问时产生的。恶意缩略图可能导致图形绘制引擎失败。
微软的工程师们正在研究一种修补程序来解决该漏洞。微软表示,该漏洞“不符合带外发布标准”。同时,该漏洞对Windows 7和Windows Server2008 R2没有影响。
微软表示,作为一种变通方案,受到影响的用户可以修改访问控制列表来限制使用Windows图片传真查看器显示文件。不过这样一来,这种方法将无法显示任何它通常可以处理的媒体文件。
该漏洞最初是由安全研究人员Moti Joseph和Xu Hao在韩国举行的社区权利(the Power of Community)安全会议上所作的报告中提出的。作为Metasploit Framework的维护者,他们创造了针对零日漏洞星期二的独立单元。
上个月,微软修复了七个Microsoft Office中的漏洞,包括一个影响Microsoft Office图形过滤器的漏洞,该漏洞被用来诱骗用户打开一个恶意图像文件。该漏洞只对Microsoft Works,Microsoft Office Converter Pack(微软Office转换器包),Microsoft Office XP和Microsoft Office 2003的用户有影响。