当地时间本周二,微软公司发布了一款补丁软件,旨在修正其处理JPEG图形格式软件中的重大安全缺陷,并催促客户使用一款新的工具查找容易受到攻击的众多应用软件。
这一危急缺陷与微软的操作系统和其它软件如何处理JPEG图形格式有关系,该缺陷能让攻击者创建一个图形文件,一旦用户打开该文件,就会在计算机上运行恶意软件。由于IE存在该缺陷,因此在浏览不能信赖的网站时,Windows用户极有可能遭到攻击。
鉴于这一缺陷的严重性,一些安全专家担忧,可能会有人利用这一缺陷来开发病毒。安全软件厂商McAfee公司负责病毒研究的经理克雷格说:“受到攻击的潜在危险特别高,但到目前为止,我们还没有发现任何‘观点证据’的代码。”这些代码主要阐述如何滥用缺陷,通常在软件厂商为其产品发布过布丁后不久出现。
微软公司紧急事件响应中心的安全经理斯蒂芬说:“最让人心焦的是有该缺陷的功能包含在多种产品中,受影响的各种版本的操作系统和应用软件数量至少有一打,其中包括Windows XP、Windows Server 2003、Office XP、Office 2003、IE6 SP1、Project、Visio、Picture It!及Digital Image Pro。微软已在网站上公布了受影响软件的全部清单,正在众多客户计算机上部署的Windows XP SP2不会受到该缺陷的影响。”
因受影响软件数量众多,微软只好开发了一款独立工具来帮助客户升级计算机。用户启动“Windows升级”服务时,将会先被引导到“Office升级”服务,然后被引导到能够发现、升级图形应用软件的工具。这一工具是微软公司未来升级工具的雏形。
斯蒂芬说:“我们知道客户希望软件升级过程简单化,我们也正在探索一个统一的升级机制。”
Linux软件发行时已经发展了统一升级软件,不仅能升级核操作系统,还能升级由开放源代码机构创建的应用软件。而微软公司的大多Windows 应用软件是由其它公司创建,这就为创建统一的升级系统徒添了不少困难。
JPEG处理缺陷能使隐藏在图形文件中的恶意软件在用户的计算机上执行。该缺陷与今年8月初发现的另一个与图形相关的缺陷无关。
本周二,微软公司发布的第二款补丁软件修正了包含在Office、Publisher、Word、Works中的WordPerfect文件转换器中的一个缺陷,该缺陷被定级为“重要”,仅次于“危急”。一旦用户打开一个恶意的WordPerfect文档,黑客就能利用该缺陷控制用户的PC。微软公司建议用户利用“Office升级”服务下载该补丁软件,有关第二个布丁的详情请登陆微软网站进行查询。