賽門鐵克 Symantec Gateway Security 400 系列硬體裝置榮獲 Common Criteria EAL2 認證

2005 年 10 月 12 日

微軟公佈9項安全性更新程式 4項高風險漏洞主要影響用戶端安全

賽門鐵克呼籲用戶應定期進行Windows Update 使用整合式安全產品強化防護

微軟今日(12)公佈了9項新的安全性更新程式，賽門鐵克安全機制應變中心將其中4項用戶端的漏洞列為高風險，4項漏洞包括DirectShow Vulnerability（MS05-050）、Internet Exploremsdss.dll Vulnerability（MS05-052）、Plug and Play Vulnerability （MS05-047），及MSDTC/COM+ Vulnerability （MS05-051）。此次公佈均為影響用戶端安全的系統漏洞。

賽門鐵克安全機制應變中心資深經理Oliver Friedrichs表示：「由於駭客大多會在用戶端電腦上安裝如間諜程式及廣告程式等惡意軟體或潛在安全風險，更新修補程式則可預防許多重要的用戶端漏洞被利用。賽門鐵克呼籲使用者務必立即安裝合適之修補程式，並切記不要開啟電子郵件或即時通訊中來路不明的檔案或連結。」

若需要微軟2005年10月安全性公告詳細資料，請至下列微軟網站得知︰ http://www.microsoft.com/technet/security/bulletin/ms05-oct.mspx.

微軟安全性公告 MS05-050 – DirectShow中的漏洞可能會允許遠端執行程式碼

嚴重性等級：高度風險
漏洞的影響：該緩衝區溢位漏洞存在於支援微軟DirectShow多媒體技術的應用程式中，如Windows Media Player （WMP），可透過AVI影音檔案輕易的加以利用該漏洞。駭客可經由郵件附加檔案、即時通訊或是夾帶惡意程式的網頁等方式，以ActiveX Control自動開啟含有惡意程式碼之WMP影音檔案利用該漏洞。
受影響的作業系統：Windows 98/ME/2000/XP/Sever 2003
詳情請參考微軟網站: http://www.microsoft.com/technet/security/bulletin/ms05-050.mspx

微軟安全性公告 MS05-052 – Internet Explorer 積存安全性更新

嚴重性等級：高度風險
漏洞的影響：軟體開發者通常會使用msdds.dll此檔案來來開發客製化Office應用程式。若使用者瀏覽過夾帶了惡意程式的網頁，則可成功的利用此漏洞，允許駭客從遠端執行惡意程式碼。此漏洞已於8月17號發布，已接獲許多受到此漏洞影響的回報。
受影響的軟體：Windows Internet Explorer 5.01-6.0 版本
詳情請參考微軟網站: http://www.microsoft.com/technet/security/bulletin/ms05-052.mspx

微軟安全性公告MS05-47 – Plug and Play Vulnerability Privilege 隨插即用中的漏洞

嚴重等級：高度風險
漏洞的影響：此「隨插即用Plug and Play Vulnerability Privilege的漏洞」將有可能導致本機權限提升及遠端執行程式碼的風險。利用破解某些Windows平台時會遭遇一些困難，因而降低了此漏洞的風險。若有心人士成功利用此漏洞，將損害整個系統的安全等級。
受影響的作業系統：該漏洞影響Windows 2000及未安裝SP2的Windows XP作業系統
詳情請參考微軟網站： http://www.microsoft.com/taiwan/security/bulletin/MS05-047.mspx

微軟安全性公告MS05-51 – MSDTC/COM+ Vulnerability漏洞

嚴重性等級：高度風險
漏洞的影響：該漏洞存於Microsoft Distributed Transaction Coordinator (MSDTC)中，若此漏洞遭到利用，將有可能導致用本機權限提升或遠端執行程式碼的風險。Windows 2000作業系統的預設值使其容易受到此漏洞威脅，成為駭客眼中的潛在攻擊目標
受影響的作業系統：Windows 2000、未安裝SP2的Windows XP作業系統
詳情請參考微軟網站: http://www.microsoft.com/taiwan/security/bulletin/MS05-051.mspx

賽門鐵克建議企業用戶採取以下措施：

評估這些漏洞對其重要系統的可能影響。

規劃必要的回應措施，包括採取合適的安全解決方案來部署更新修補程式，及執行最佳實務準則。

採取主動式步驟以保護網路和資訊的完整性。

系統經理人應該確認企業擁有合適及有效的資料備份流程和安全裝置。

提醒使用者謹慎開啟所有來路不明的電子郵件附加檔案，及連結來路不明或未被確認的網站。

賽門鐵克建議家庭用戶採取以下措施：

定期執行Windows Update，並且安裝最新的安全性更新程式，以保持軟體處於最新狀態

勿開啟來路不明的電子郵件附加檔案，及連結來路不明或未被確認的網站。

為了獲得完整的安全防護，可考慮使用整合了防毒、個人防火牆、入侵偵測的資訊安全解決方案如諾頓網路安全大師2005防間諜程式加強版，以免於今日已知和未知的威脅。

關於賽門鐵克
賽門鐵克公司是全球解決方案的領導供應商，致力為個人和企業用戶提供資訊的安全性、可用性和完整性。賽門鐵克企業總部設在美國加州 Cupertino ，營運據點遍及全球 40 多個國家。欲知更多相關資訊，歡迎瀏覽賽門鐵克企業網站 www.symantec.com