微軟修補下載所引起的漏洞

微軟發佈了兩個公告用於修補三個安全漏洞，影響範圍包括所有的視窗作業系統。根據資安軟體供應商的訊息，其中一個最嚴重的漏洞是透過惡意網站的下載所導致的一連串危害。

該資安漏洞包含在MS11-002當中，而消息來源則是自風險資料供應商 TippingPoint Zero Day Initiative 組織。其中至少包含兩個獨立發生於MDAC （Microsoft Data Access Components）的漏洞，並警告 MDAC 在驗證第三方API使用與記憶體的配置上有安全問題。

微軟將這視為Windows XP，Windows Vista，Windows 7 視窗版本的「嚴重」問題，而在Windows Server 2003，Windows Server 2008，Windows Server 2008 R2 上嚴重等級則被標定為「重要」。

另一個 MS11-001 公告則是針對Windows Backup Manager 軟體所發現的漏洞，該問題發生於如果使用者打開同個網路目錄內針對 Windows Backup Manager 特別打造的函式庫檔案，便可以取得遠端執行的權利。

對於攻擊者來說，讓使用者瀏覽一個不被信任的WebDAV檔案伺服器位置，並且打開紀錄檔案，便會讀入特製的函式庫達成遠端執行的目的，目前該漏洞對於所有的Windows Vista都列為重要的等級。



Qualys公司的CTO提供了更詳細的說明：

MS11-001提供了Windosw Backup Tool 在動態函式庫預先載入上的問題，但是僅會對於 Windows Vista發生重要的影響，這與去年八月至今在動態函式庫預先載入的問題類似，許多會導致問題的應用程式也都已經被點名。該漏洞在 SA41122 修正當中已經解決。

本月週二的修正更新相對上來說算是輕微的問題，Windows 使用者要另外多注意本月還有五個沒有被註明的IE瀏覽器與繪圖著色漏洞存在。