微软发布补丁程序 修补PowerPoint一重大安全漏洞

CNET科技资讯网5月14日国际报道 微软日前发布补丁程序，解决PowerPoint的一项重大安全弱点。

这个问题被列为Office 2000的重大(critical)安全弱点，但对Office XP、Office 2003和Office 2007而言只被列为重要(important)安全弱点。不过，有鉴于这个安全漏洞已构成锁定目标攻击(targeted attacks)的基础，促使微软在上个月发布安全警告。

微软表示，Windows版PowerPoint的这项安全漏洞已修补好了，但Mac版Office和微软入门级办公软件Microsoft Works的补丁程序仍在着手制作中。

微软安全应变通讯领导人Christopher Budd发表声明说：最新的Office for Mac以及 Microsoft Works 8.5与9.0更新仍在开发之中，微软计划在测试完成后发布这些软件的更新，以确保高品质。我们分批发布安全更新，是因为积极攻击Windows平台使用者的exploits已出现。

这项安全漏洞若未修补，使用者开启有问题的PowerPoint文档时，PowerPoint会存取无效的记忆物件(object in memory)，这可以让攻击者自远端在系统上执行程序代码。

最新补丁程序随微软定期在每月Patch Tuesday日发布的更新一并推出。

微软表示，安装更新后，Microsoft Office PowerPoint 2000以及Office PowerPoint 2002里的预设环境里，将关闭可开启PowerPoint 4.0格式文档的功能。(微软PowerPoint 2003 Service Pack 3的预设环境已经关闭那个选项，而PowerPoint 2007里并不提供这项功能。)

微软指出，此安全弱点在PowerPoint 2002以后的版本必须先征询使用者同意，才能开启文档，所以未被列为重大安全漏洞。

赛门铁克(Symantec)表示，这项PowerPoint补丁程序大致与比较旧的文档格式瑕疵有关。赛门铁克安全应变副总裁Alfred Huger说：要利用这些弱点，必须叫唆使用者开启恶意制作的PowerPoint文档，所以电子邮件也许是黑客最可能使用的工具。另一种可能，是黑客引诱受害人从被误导或被下毒的网站下载文档，然后黑客再运用使用者的帐号为所欲为。

Lumension资安分析师Paul Henry提醒企业IT人员，除了微软之外，也应该注意Google、F-Secure、Adobe、惠普、赛门铁克、Mozilla等软件制造商发布的各种热门应用程序的安全更新，以有效降低安全风险。