本报讯 日前,微软向全球用户推出10月安全补丁,修复了Win-dows、Office和IE浏览器等组件中的24处漏洞。中国安全厂商360因发现4处IE漏洞并协助微软修复而获得其官方致谢。
值得关注的是,微软本月修复的多个高危漏洞已经遭到黑客攻击,甚至成为网络战争间谍活动的秘密武器。据美国安全机构iSight爆料,一个名为“沙虫”的黑客组织利用Win-dows漏洞,对一些国家展开间谍活动。报告称,“沙虫”攻击的目标还包括能源和电信行业,以及一些学术机构。“沙虫”漏洞影响微软当前支持的所有Windows操作系统。利用该漏洞,黑客可以通过恶意文档实施远程攻击,已知的漏洞攻击载体是Power-Point2007格式文件。此前,“沙虫”漏洞攻击样本已出现在互联网上,根据全球在线杀毒扫描平台VirusTotal检测结果,360是国内最早查杀“沙虫”的安全软件。在微软10月补丁发布后,“沙虫”漏洞已得到了彻底修复。
编号为CVE-2014-4148的Win-dows内核漏洞更是被安全业内人士视为“大杀器”。利用此漏洞,恶意字体文件也成为黑客的武器,可通过网页、文档等载体悄然入侵;同时被修复的内核提权漏洞CVE-2014-4113,则被发现其黑客工具中嵌入了一句中国流行的脏话字符串,相关安全机构经过考证后在漏洞报告中加入了羊驼的配图。
鉴于微软10月补丁修复的多处漏洞信息已经曝光,黑客攻击很可能将由网络战蔓延到普通家庭用户上,为此安全专家提醒广大网民尽快打好补丁,根据用户系统和软件环境进行快速修复。 (夏冰)