:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
0day 漏洞通告,Microsoft Office Excel 含有可能造成遠端執行任意程式碼的0day 漏洞,目前尚未釋出更新程式,請使用者不要任意點選不明Excel 檔案,以免受駭!(2009/02/25)
 
詳細描述:
Microsoft Excel 2000 SP3 、2002 SP3 、2003 SP3 、2007 SP1 、2004 for Mac 、2008 for Mac 等眾多版本被揭露可能含有造成遠端執行任意程式碼的零時差(0day) 漏洞,駭客可利用蓄意製作的惡意Excel 檔案,並以電子郵件或IM 訊息等方式,誘使用戶在不知情的情況下點選連結,下載並開啟惡意Excel 檔案,導致用戶系統受駭,駭客即可於遠端取得當前登入者的權限,若當前登入者的身份為系統管理者,則駭客即可取得系統的完整控制權,於受駭系統中任意安裝程式,瀏覽、變更和刪除任意資料,甚至是新增擁有完整權限的使用者帳號。

根據微軟表示,此漏洞是由於使用者在開啟特製的惡意Excel 檔案時,Excel 會嘗試去存取一個無效物件,導致駭客可利用此漏洞執行任意程式碼。微軟目前正針對此漏洞進行處理,並將於日後以service pack 、每月安全性更新或即時發佈更新等方式公佈此漏洞的修補程式,請使用者隨時注意微軟官網的訊息。

目前已知攻擊程式已出現,且微軟尚未釋出更新程式,中華電信SOC 在此建議使用者,不要任意開啟未知、不明的Excel 檔案,以降低受駭風險!

參考資料:

 
 
下框