高危漏洞威脅系統安全 微軟狂打10補丁

印象中微軟的操作系統總是眾黑客挑戰技術極限的實驗場，作為操作系統廠商的微軟，則總是像一個勤勤懇懇的裁縫，幾乎無時無刻不在打補丁，而黑客們又始終都能找出無窮無盡的漏洞來。于是這件事便演變得相當有趣——黑客們總在兢兢業業鉆漏洞，微軟則總在勤勤懇懇打補丁，雙方總是像在打一場處于拉鋸狀態的持久戰。日前獲得的消息再次證明了這場持久戰的存在。本周二，微軟再次更新了10個補丁，其中包括6個危急補丁。下面就讓我們看看這次又是哪幾個高危漏洞讓微軟寢食難安吧。

黑客總在兢兢業業鉆漏洞，微軟總在勤勤懇懇打補丁

CVE（Common Vulnerabilities and Exposures，通用漏洞披露）編號為CVE-2008-0083的漏洞。這個漏洞危及windows Vista和Windows Server2008系統。
微軟表示：“一個遠程代碼執行漏洞存在于網頁里的VBScript和JScript腳本引擎的解碼腳本之中。如果用戶打開了特制文件或者訪問了正在運行特制腳本的網站的話，這個漏洞將允許遠程代碼執行。同時，如果用戶是登錄了管理員賬戶，攻擊者就可以成功利用這個漏洞，從而獲得受感染系統的完全控制權。此時攻擊者就能安裝程序、瀏覽被感染電腦、改變或刪除被感染電腦上的數據，或者創建擁有完全控制權的新賬號，從而把受害用戶的賬號設定為更低的系統用戶權限。在這個漏洞可能導致的攻擊里，賬戶權限越低的用戶受到的影響越小。”此漏洞由賽門鐵克公司發現。

CVE編號為CVE-2008-1086的ActiveX Kill Bits漏洞。該漏洞存在于Windows 2000、各個版本的Windows XP、各個版本的Windows 2003、 Windows Vista以及Windows 2008操作系統里。
微軟表示：“一個遠程代碼執行漏洞存在于ActiveX控件的hxvz.dll之中，攻擊者能通過創立特殊處理過的網頁來利用這個漏洞。當用戶瀏覽了特殊處理過的網頁的時候，此漏洞將允許遠程代碼執行。從而攻擊者便可以成功利用這個漏洞獲得與當前登錄的用戶相同的管理權限。”安全廠商iDefense公司的“漏洞貢獻者計劃”（Vulnerability Contributor Program，簡稱VCP）發現了這個漏洞。

CVE編號為CVE-2008-1085的漏洞
微軟表示：“由于Internet Explorer瀏覽器處理數據流的方式，造成了在Internet Explorer瀏覽器之中存在一個遠程代碼執行漏洞。攻擊者通過創立一個特殊處理過的網頁便能利用這個漏洞進行攻擊。當用戶瀏覽過這個網頁以后，該漏洞將允許遠程代碼執行，從而攻擊者便能成功利用這個漏洞獲得與當前登錄用戶相當的管理權限。”IE6和IE7在眾多平臺上都首當其沖，尤其是在Windows Vista和Windows Server 2008操作系統中。此漏洞由安全機構Secunia發現。

　　了解更多：http://www.xiaobaixitong.com/

CVE編號為CVE-2008-1088的漏洞：
微軟表示：“一個遠程代碼執行漏洞存在于Microsoft Project特別處理后的Project文件里。通過電子郵件附件的形式，以及經過一些特別處理過或者被黑掉的網站發送錯誤文件，攻擊者便可以利用這個漏洞。”這個危及微軟Microsoft Project Server 2003、Microsoft Project Server 2007、Portfolio Server 2007以及Project Server 2007的漏洞由韓國國家電腦安全中心發現。

最后是CVE編號分別為CVE-2008-1083和CVE-2008-1087的兩個漏洞。這是兩個GDI處理整數和文件名參數的方式里存在的漏洞，分別存在于EMF圖像文件里。這兩個漏洞由iDefense實驗室的“零時差項目 （Zero Day Initiative，簡稱ZDI）”和安全廠商SkyRecon的研究人員共同發現。