台灣微軟發佈六月定期安全公告與編號MS09-018~MS09-027共十個安全補充程式,這十個安全補充程式的嚴重性等級分別為6個重大等級、3個重要等級和1個中度等級;台灣微軟呼籲,應盡速下載補充程式,以避免遭受惡意程式攻擊。在本月的安全更新中,編號MS09-020安全補充程式是為避免IIS(Internet Information Services)漏洞所造成的資訊外洩威脅,此弱點於上月底已發布,且已有惡意程式碼被公佈。
但經過微軟分析研究發現,駭客無法上傳或變更伺服器上的網頁,因此本月的安全性公告已將此更新之安全等級調降至重要,並針對惡意程式釋出安全更新及修正強化程序,以確保電腦使用的安全性。台灣微軟公司強烈呼籲所有客戶應立即使用「Windows Update自動更新」或下載補充程式,避免重要資料外洩或遭受惡意程式攻擊,補充程式下載請至:
http://www.microsoft.com/taiwan/protect/computer/updates/bulletins/200906.mspx。
本月安全公告資訊摘要請參考:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-jun.mspx。
微軟自5月底發佈IIS安全警報,說明若攻擊者傳送蓄意製作的HTTP要求至需要驗證的網站,且系統管理者未正確設定IIS的系統參數或開放過多權限,則安全弱點可能會允許權限提高,讓攻擊者隨意竊取伺服器中的個人或企業機密。經過一連串的驗證與研究,微軟發佈了與該項漏洞有關的完整調查報告,並同時針對已經在外流傳的惡意程式碼釋出相關的安全性更新MS09-020。
MS09-020安全性更新可修改IIS之WebDAV延伸處理HTTP要求的方式,讓使用者的電腦可有更高的安全性,該安全性更新會影響的範圍包括Windows 2000、Windows XP SP2/SP3、Windows XP x64 SP2、Windows Server 2003 SP2、Windows Server 2003 x64 SP2及Windows Server 2003 for Itanium。
此外,微軟資安專家分析後認為,若依據系統所預設的基礎設定與參數,駭客就算成功入侵系統,也無法上傳惡意網頁或變更原有的檔案,對系統影響程度不若預期之大,因此同時間將此安全等級調降至「重要」。若網站管理員權限控管得宜,可避免駭客植入惡意程式,造成資訊安全風險。
台灣微軟提醒,防止電腦個資外洩,首要動作就是及時下載安全更新程式,建議啟動「自動更新」功能,當發佈任何安全更新程式時電腦就會自動下載並更新完成,若未啟動自動更新則應盡速手動檢查並更新相關元件。此外,要隨時監控電腦是否任何異常事件的發生,並隨時確認系統在正常狀態,以確保系統的健全性無虞。