Ｂｕｇｓ＆ｆｉｘｅｓ

補丁上演《集結號》

歲末年初，街頭巷尾最熱門的話題可能就是近期火爆上映的馮氏電影《集結號》了。的確這個慘烈、悲壯又充滿豪情的故事，震撼著很多朋友的心聲。

與此相映襯的是，最近在我們的電腦上同樣也上演著一部危機四伏的“電腦集結號”!微軟的瀏覽器、辦公軟件和郵件系統在這個月依舊漏洞百出，很多朋友為能安然過冬，相繼更換了Firefox、WPS和Foxmail。不過，有些時候，問題可能比表現上看起來要復雜得多，比如一些第三方公司的PDF文件漏洞造成了IE瀏覽器的威脅，甚至迫使微軟不得不給自家產品打上補丁，以修正這些本不屬于自己的問題。

XP下的IE7存在風險

微軟近期宣布即將推出IE7補丁，而在此之前，用戶在XP下使用IE7存在風險。IE7下的統一資源標識符控制器在與Adobe的Acrobat閱讀器和Mozilla的Firefox瀏覽器通信時存在漏洞。之前微軟指出是Firefox的問題，但現在他們也承認自己的瀏覽器的確有缺陷，還好到目前為止，還沒有利用此類漏洞的攻擊出現。微軟已經開發出了修復該漏洞的補丁。但仍在測試中，估計還有一些時日才會正式面世。如果XP下的用戶顧忌這一IE漏洞，可以使用已經修復了這一漏洞的2.0.0.6及更高版本的Firefox來避免風險。

除此之外，前不久，微軟還發布了三個緊急補丁，其中一個是Office2000、OfficeXP和Mac下的Office 2004的補丁：另一個是OutlookExpress 5.5和6，以及Vista下的Windows Mail的安全補丁：最后一個是Windows2000下的Kodak圖像查看器補丁和從Windows 2000升級到XP的補丁。

及時更新DirectX補丁

值得注意的是，日前，微軟的DirectX10.0、9.0c、8.1、7.0也爆出漏洞，它們在處理同步存取媒體交換(SAMl)文件及WAV／AVI文件時含有遠程代碼執行漏洞。DirectShow沒有對Synch ronized AccessibIe Media Interchange(SAMI)文件類型參數和WAV、AVl文件類型參數執行充分分析，攻擊者可能利用此漏洞提升自己的權限。

如果用戶使用管理用戶權限登錄，攻擊者便可利用此漏洞完全控制用戶電腦，并能肆意安裝程序；查看、更改或刪除數據；或者創建擁有完全用戶權限的新賬戶。同樣的，對于習慣了使用高權限賬戶登錄系統的用戶，這個漏洞的威脅將更大，所以我們還是建議用戶在日常使用電腦時選擇使用普通權限的賬戶。當然，大家還是盡快到微軟網站相關頁面下載補丁進行修復才是正道兒!

消息隊列服務棧溢出漏洞

本月，我們有發現Windows的消息隊列服務在處理畸形請求數據時存在漏洞，它在將輸入字符串傳遞到緩沖區之前沒有執行正確的驗證，遠程攻擊者可能利用此漏洞控制服務器。攻擊者可以通過構建特制的MSMO消息來利用該漏洞，這種消息在遠程攻擊情形下可能允許在Windows 2000 Server上遠程執行代碼，而在本地攻擊情形下可能允許在WindowsXP上進行本地權限提升。成功利用此漏洞的攻擊者可以完全控制受影響的系統。

MySOL遭遇系統表格覆蓋漏洞

其實不只是微軟會報漏洞，MySOL AB MySOL5.0.51以下版本最近也爆出存在RENAME TABLE系統表格覆蓋漏洞的消息，本地攻擊者可能利用此漏洞修改破壞數據表。如果表格設置了DATA DIRECTORY和INDEXDlRECTORY選項的話，MySQL服務器在使用RENAME TABLE語句重新命名該表格時就存在錯誤，可能允許攻擊者通過某些符號鏈接替換所指向的文件導致覆蓋系統表格信息。目前廠商已經發布了升級補丁以修復這個安全問題，請大家盡快到廠商的主頁下載、升級該補丁。

Opera RLE漏洞拖累你的系統

另一個本月報出漏洞來自Opera9.24和9.50beta，它們在處理畸形的BMP文件時存在漏洞，可能導致系統性能在一定時間內大幅下降。Opera處理BMP文件時，會將寫指針移動到位圖的行和列上，但Opera實現移動寫指針的算法過于緩慢，攻擊者就以創建最大寬度的BMP文件的方法來填充文件數據。如果用戶使用Opera打開了這個BMP文件的話，就會導致瀏覽器僵死一段時間。即便是較快的計算機上，這種假死也要讓你等上約4分鐘。如果創建的網頁包含有多個位圖的話，就可以導致瀏覽器僵死時間翻倍。

現在似乎電腦漏洞也都開始集中爆發了，其慘烈程度和危害廣度的確可以和《集結號》中的戰爭場面相匹敵，而且一旦你錯過打補丁的機會，就有可能遭到全軍覆沒的打擊。所以我們還是要提醒大家，不要輕易開啟陌生郵件的附件，因為木馬有可能藏于其中，并讓殺毒軟件無法察覺。據統計，2007年上半年。在全球范圍內，釣魚攻擊增長了150％、惡意軟件也增加了500％，所以馬上去各個軟件廠商的官方網站上下載最新的漏洞補丁吧!