独立安全研究人员乔治表示,微软的Office XP软件包中的二个安全漏洞可能使黑客取得系统的控制权。当地时间本周一,乔治在安全邮件组中发布了有关该问题的公告,并将它发布在自己的网站上。
他在安全公告中表示,第一个安全漏洞只影响Outlook XP,使黑客能够在电子邮件中嵌入“活动的”内容,活动的内容包括一个对象和一段脚本代码。当用户转发或回复该电子邮件时,嵌在其中的内容就会执行。该安全漏洞能够强迫用户访问黑客设计的一个网页。
第二个安全漏洞影响Office XP中的电子表格组件,与第一个安全漏洞联合起来使用,能够使黑客在用户的启动目录中存储可执行的文件,从而取得对系统的控制权。
乔治在发布的安全公告中包括了演示如何利用这二个安全漏洞的代码。他说,他在3月17日已经将这二个安全漏洞通知了微软,但微软没有在二周内发布安全补丁。过去,微软一直批评乔治总是很快地就公布他发现的安全漏洞信息,认为他的行为是“不负责任的”。
解决这二个安全漏洞的方法包括禁止IE浏览器中所有的“活动”内容功能,完全删除Office XP中的电子表格组件。乔治指出,用户最好的解决方案是“获得真正的电子邮件客户端软件和办公用应用软件。”(刘彦青 )
|