时间:2010-08-14 | 栏目:安全播报 | 点击:次
北京时间4月10日消息,据McAfee公司安全研究员们称,现在微软Office软件中似乎又出现了三个尚未修复的新漏洞。
据McAfee公司的Avert Labs博客在周二发布的文章称,许多在线安全论坛都在星期一报道了这些安全漏洞。 据博客文章称,除了其中一个,其他漏洞全部都会导致拒绝服务式攻击,也就是说会令应用软件崩溃。
McAfee公司研究员卡特西克拉曼星期二在博客文章中写道:“其中有一个堆栈溢出式漏洞,可能会导致远程代码执行式攻击。” 一般攻击者会利用这种漏洞诱骗受害人去打开一个恶意Office文件。
微软公司代表在电子邮件声明中表示,微软也正在对这些漏洞报告进行调查。代表称,微软目前还未获悉与这些漏洞有关的任何攻击事件。
关于这些漏洞的消息是在微软发布月度安全更新的同一天发布的,微软仍在处理上周发布的紧急补丁的善后事宜。
拉曼说:“这次又是在微软发布月度安全更新的同时公布零时攻击漏洞,这样攻击者们可用来发动攻击的时间是最长的。”
网络罪犯们已经发现,他们可以利用微软月度安全更新的周期来确定发动新型攻击的时间,从而保证他们有尽可能多的时间来进行攻击。某些安全观察员根据这种策略给它造了个词“零时星期三(zero-day Wednesday)”。
McAfee公司也在调查这些安全漏洞。McAfee公司的安全研究和通信经理达夫马库斯说,实际上这些漏洞可能并不是新漏洞。他说:“有时人们所说的零时攻击漏洞也许只是与某些已经众所周知的事物有关的旧事物。”
如果这三个Office漏洞是新漏洞,那么Office软件中出现的零时攻击漏洞数量就增加到了5个。据电子眼安全公司零时攻击漏洞跟踪研究员称,尽管在次披露的3个漏洞中有2个在以前就已经公开过,但是微软在星期二仍没有发布任何与它们有关的修复补丁。