JPEG圖檔漏洞危及Windows PC MTMD-又是小明小惠小萍網站

本文摘自：Tawain.CNET.com
============================================================
CNET新聞專區：Robert Lemos　　15/09/2004

微軟公司14日公佈其軟體處理JPEG圖檔過程中某一重大瑕疵的修補程式，並呼籲顧客使用新工具找出有此漏洞的許多應用軟體。

這項嚴重瑕疵一定和微軟的作業系統及其他軟體如何處理廣泛使用的JPEG檔有關，並且能讓攻擊者創造一個點閱後即可在受害電腦執行惡意程式的影像檔。由於微軟的IE瀏覽器有許多漏洞，Windows使用者可能只是造訪帶有這類影像的網站就受到攻擊。

有鑑於該瑕疵的嚴重程度，某些安全專家擔心，利用這個問題的病毒很快就會出現。軟體安全公司McAfee的病毒研究經理Craig Schmugar說：「攻擊的可能性非常高。但我們尚未發現任何概念驗證程式。」這類程式會展示如何利用特定的瑕疵，且通常在軟體商公佈修補程式後迅速出現。

受影響的至少有十幾種微軟的應用軟體和作業系統的不同版本，包括Window XP、Windows Server 2003、Office XP、Office 2003、IE 6、Service Pack 1、Project、Visio、Picture It和Digital Image Pro。完整名單公佈在微軟網站的公告中。目前正陸續下載到許多顧客電腦中的Service Pack 2，並未含有該瑕疵。

微軟的事故反應中心安全程式經理Stephen Toulouse表示：「難處在於（有瑕疵的功能）存在許多不同產品中。」由於太多應用軟體都有這項瑕疵，微軟必須創造個別的工具幫助顧客更新電腦。 Windows Update的使用者將被導向微軟的Office Update工具，然後是尋找並更新造像與顯影應用程式的工具。這些工具是微軟未來產品的預告，Toulouse說：「顧客最重要的心聲之一，就是簡化軟體更新過程。我們的目標是建立一個統一的更新機制。」

出於必要，Linux經銷商已經發展出這種統一的更新軟體，不僅能更新核心作業系統，也包括其他開放原始碼社群所創造的應用軟體。然而，Windows大多數應用軟體是由微軟之外的公司製造，使得這種統一的更新系統在政策上更難實現。

JPEG處理過程瑕疵讓影像中潛藏的程式在受害者的系統中執行，這項瑕疵和8月初發現的另一種影像漏洞無關。該項漏洞，存在圖書館用來支援可攜式網路圖形（PNG）格式的一種普通程式中，影響Linux、Windows和蘋果Mac OS X等系統的應用軟體。JPEG和PNG都是網站普遍使用的格式。

微軟已於今年4月推出一項通知計劃，任何與該公司簽署一份非公開協議的顧客，都在三天前收到這次JPEG瑕疵的警告。Toulouse表示：「有些顧客希望得到更多資訊。」通知計劃參與者所得到的資訊，僅限於若干瑕疵、受影響的應用軟體，和相關瑕疵的最高威脅等級。

JPEG影像處理過程漏洞，是微軟最新發現的產品瑕疵，也是該公司今年第28次公告的主要內容。微軟經常用一份公告涵蓋多個問題；例如今年4月的四份公告便包含20個以上安全漏洞。微軟14日公佈的第二個修補程式，是針對Office、Publisher、Word和Works當中WordPerfect 檔案轉換器的瑕疵。該瑕疵屬第二高威脅的「重要」等級，僅次於「嚴重」。若使用者開啟一份惡意的WordPerfect文件，這項漏洞便可讓攻擊者控制受害者的電腦。微軟建議顧客使用Office Update下載修補程式。（陳智文）

幫各位找好更新檔囉：KB833987：Microsoft Windows XP 安全性更新