微软微软周二发布的月度补丁完全针对Office,其中最引人注目的是Excel,有四个关键补丁,其中一个可以让黑客劫持用户的电子邮件。
在4个补丁中包含的11个漏洞中,有9个针对的是Excel,包括一个从1月份开始就存在的零日漏洞。(比较补丁和漏洞管理产品。)
专家说,Office补丁也给IT带来了独特的挑战,因为用户必须有原始的安装介质才能安装补丁。该媒体可以是CD-rom,存储在用户的硬盘驱动器或网络共享。无论如何,要安装这些补丁,它必须让每个桌面都能使用这些媒体。
Lumension市场策略高级总监Paul Zimski说:“微软最初这么做是为了加强许可,但随着Office的漏洞不断增加,打补丁就成了问题。”
这个问题可能会变得更糟,因为SANS研究所将“办公效率套件”列为2007年的20大安全风险之一。SANS称,微软Office在这类软件中占主导地位,该平台的关键漏洞已从2003年的不到3个增至2007年的近24个。
此外,Office是微软的软件加服务举措的一大焦点,特别是因为它涉及到通过协作连接的用户。
虽然Excel包含了大部分的缺陷,但最严重的问题可能是MS08-015,它修复了一个漏洞,可以让黑客读取用户机器上现有的电子邮件并劫持所有后续的电子邮件。
该漏洞的作品掀起了超链接的电子邮件地址。该链接可以出现在网页上或在另一封电子邮件。当电子邮件地址链接,用户点击,他们看到一个熟悉的操作 - 他们的桌面上的一个新的信息开放 - 但会在后台代码同时被用户的系统上执行。
此外,用来打开邮件消息的命令——称为“MailTo”——可以隐藏在一个普通的网页超链接后面,以欺骗用户点击该链接。当用户单击时,他们看到的是一个新的邮件消息而不是一个Web页面会感到困惑,但是损害已经造成了。
微软在其MS08-015公告中表示,恶意代码可能会让攻击者“有可能将所有未来的信息重定向到攻击者控制的位置”。
“我们从来没有见过那样的攻击之前,所以用户并不懂行,”埃里克·舒尔茨的Shavlik科技公司首席技术官说。“因为这是一个全新的攻击向量,我认为这是一个很多更危险。”
舒尔茨说,这个安全漏洞是当前没有被公开利用,不过,它很可能只是一个钓鱼等恶意网站开始使用它之前的时间问题。
该漏洞影响的Microsoft Office Outlook 2000中的Service Pack 3,2002的Service Pack 3,2003 Service Pack 2和3和2007年。
微软还发布和ms08 - 014,它修复了Excel在1月份首次发现的零日漏洞。
用户只需要打开一个Excel文档就可以被黑客攻击。这个漏洞允许黑客接管用户的机器。
这一缺陷被列为Office 2000的重要缺陷,如果一个Excel文档出现在网页上,它会自动打开。Office XP和2003向用户显示一个提示,询问他们是否想打开文档。该补丁在这些平台上被列为“重要的”,并且没有针对Mac的Office 2008补丁。
MS08-016与此类似,如果用户打开Excel文档,攻击就会启动,但016补丁没有被公开利用。
微软还发布了MS08-017,修复了Office网络组件的两个缺陷。
Qualys漏洞研究实验室的经理Amol Sarwate说:“目前所有的补丁都与应用程序级别的漏洞有关,支持了客户端漏洞增加的趋势,以及攻击载体从服务器明显转移。”“这些攻击是特别邪恶的,因为没有简单的传统安全方法,如阻止一个进入的交通端口,可以检测和阻止它发送到目标收件人。”相反,预防主要依赖于终端用户教育和定期的系统补丁。”