微软近日表示,视窗XP操作系统、IE和其他四个产品用户,可能因为这些产品的瑕疵,而被黑客非法取得资料。微软公司把这些产品瑕疵列为“严重”问题,并建议消费者尽快装设它提供的补救软件。
由于存在这些瑕疵,连电邮软件Outlook Express有时也容易成为黑客非法取得资料的途径。使用SQL主机2000数据库和商务主机2000进行网上销售活动的网络行政工作者,也面对这类风险。
据微软保安行动中心主管布德说,IE里的瑕疵,影响5.01、5.5和6.0版本的IE,其中一项瑕疵存在于用户在所谓“讯框”(Frame)的特殊视窗,在这类视窗浏览内容,可能使到用户的个人资料暴露在“公开场合”。黑客因此可以在用户的电脑阅读文件档案或截获第三者网站的内容。
所谓“讯框”,是网页的小窗口(sub-window)。例如,网页设计者可以利用“讯框”,把网页分成左右两部分,左边的“讯框”收录的可能是内容目录,右边的则可能是其中一页内容。但是不同“讯框”的内容未必一定要来自同一网站。
截获第三者网站内容的可能,在最糟的情况下,黑客可藉此取得使用者名称、密码、信用卡等个人保密资料。
微软已经在网站公布补救措施,并鼓励电脑用户下载补救软件。微软公司高层尚未对此发表评论。
布德说,当用户启动视窗的更新功能(update feature)时,补救软件便会自动的装置在用户电脑上。微软至今并未发现任何因为这些产品瑕疵而被黑客利用的个案。
这些软件瑕疵有两个是由微软外部人发现的,布德透露,去年11月公司获知第一个,12月获知第二个。公司员工因此全速工作以补救。有关详情和补救软件,可参考微软网站三处:
http://www.microsoft.com/technet / security/bulletin /MS02-008.asp、http: //www.microsoft. com/technet/security/bulletin/MS02-009.asp 以及 http://www.microsoft.com/technet/ security/bulletin/MS02-010.asp。
