微软在今年2月定期漏洞修补中,推出12个修补程式,共修补了22个程式漏洞,其中有3个漏洞列为重大(Critical)。微软亚太区全球技术支援中心专案经理林宏嘉表示,这3个重大的漏洞修补中,包括IE 6、7、8未知的漏洞修补,以及修补图形引擎可隐藏恶意程式的漏洞,也修补伪造Open Type字型隐藏恶意程式供人下载的潜在风险。
编号MSE-003的重大漏洞主要是补强IE浏览器连上恶意网页的风险,这个漏洞先前并未公开。林宏嘉表示,对於终端用户而言,因为可以任意存取外部网页,浏览器相关漏洞影响性相对大,从Windows Server 2003之後,伺服器上开启IE会有其他保护机制,伺服器端IE风险较用户端小。
编号MSE-006则是Windows 7中Windows shell图形处理器的漏洞修正,林宏嘉说,从2010年发现该漏洞後,目前还无人成功利用此一漏洞完成攻击。至於编号MSE-007则是Open Type字型使用CSS驱动程式导致的漏洞,林宏嘉指出,主要是骇客伪造Open Type字型利用社交工程手法供人下载,并利用CSS驱动程式的漏洞隐藏恶意程式。但他说,Open Type字型容量小,这往往是骇客多重攻击手法的其中之一。
面对无法立即更新微软定期修补程式的企业,林宏嘉建议,可参考微软Microsoft Security Advisory(2501696)的修补建议,关闭MHTML协定,将内外网安全性等级提升为高,并封锁所有ActiveX控制项。