安全研究人員表示已陸續找到微軟Windows XP SP2服務包中所存在的漏洞。

上周，德國Heise安全公司宣佈，他們發現Windows XP SP2服務包中存在兩個漏洞，可用來避開執行不受信賴程式時原本應該出現的警告訊息，這使得電腦入侵者更容易執行在受害者電腦上執行程式碼。

而漏洞評估商PivX的資深安全研究員Thor Larholm也表示陸續還有更多漏洞會被挖出來。Larholm從SP2程式檔公布後就開始偵測漏洞，並通知微軟相關議題，但不願進一步透露細節。

「我很確定未來幾週就可看到很嚴重的漏洞出現，幾個月後也會有蠕蟲避開SP2功能入侵。」他說。

Larholm之前幾年曾多次找出數十個Windows XP與IE瀏覽器的漏洞，之前還放了一個網頁專門公布微軟瀏覽器還沒補好的漏洞。

微軟則不願表示是否已經收到Windows XP SP2新漏洞的報告，僅表示該公司已開始瞭解Heise所提出的問題。

「安全回應中心已經開始瞭解這些報告，」一位公司代表表示，「這項功能原本是要保護用戶，不會執行來自不明來源的執行檔，目前我們還沒聽說有任何人可以藉著e-mail或瀏覽器來避開這項功能的。」

安全研究員也指出微軟雖然在SP2加入幾項新的安全技術，但還沒解決部分廣為人知的議題。比如防火牆雖然改善了，但任何在本地端執行的程式卻可避開防火牆的規範，eEye數位安全公司駭客長Marc Maiffret表示，這是多數個人防火牆程式都會碰到的問題。

Maiffret表示他們也已經開始分析微軟的安全更新，「我們看到一些很有趣的東西，但才剛開始進行一週而已。」

SP2遭發現漏洞的消息將使企業對升級Windows XP更加躊躇，之前就已經有許多公司表示會延後進行更新。

SP2的主要目的是強化Windows XP在處理網路資料，程式，網頁瀏覽以及電子郵件時的安全性。

去年8月11日的MSBlast病毒爆發以來，微軟經過一年多的努力，終於推出SP2服務包。微軟主席比爾蓋茲將SP2描述為Windows有史以來涉及面最廣的一次免費升級，公司已經承認，SP2的開發工作已經影響到了其他專案的進度，比如Longhorn等。

至於XP本身的漏洞，eEye的Maiffret認為更新程式本身是為了強化Windows XP安全性，而非找出作業系統中的全部漏洞。「微軟從沒說過SP2可以封掉所有的安全漏洞。」(李海/陳奭璁)

微軟Windows XP SP2中文版本預定在九月中開放下載。

台灣微軟將於下週二推出中文版的RTM(Ready to Manufacture，可視為正式版本)SP2，提供給本地軟硬體合作廠商。預定九月中開放一般企業或個人及家庭使用者下載正式版本。

SP2提供方法有二，線上下載者為80Mbytes，而完整版為270Mbytes，若使用者於線上訂購，微軟會以光碟形式免費寄出。

這個被認為是最重要的Windows XP更新版，最大的特色是在安全上做了強化。而其中又以防火牆Windows Firewall的預設開啟，導致許多連網應用，像是檔案分享、遠端存取（如FTP）、線上遊戲以及即時傳訊(IM)等，在SP2中都會被擋下來。

微軟日前發佈的「知識庫」文件中，詳列可能受到SP2影響而無法如以往正常運作的軟體，甚至包括微軟自己的產品。

「這不應該被視為衝突或不相容，」負責SP2的台灣微軟資深產品行銷經理陳宣霈指出，「在Windows Firewall啟動的情形下，這種通訊被阻斷的情況本來就一定會發生。」

她指出，其實只要是合法的存取流量，SP2使用者可以很輕易將之恢復連接。以Windows Messenger為例，在第一次開啟使用者，作業系統會跳出對話框是否要使用，一旦使用者按下「是」的選擇，則Windows Messenger就會被加入SP2的「例外清單中」。陳宣霈表示，使用者也可以選擇在Windows Firewall中自行決定哪些通訊埠需要打開，藉此允許流量的進入。

「SP2和過去不相同的，就是特別考慮安全。」陳宣霈強調，而這個改變也將影響軟體開發商(ISV)的思維，未來ISV們也不能只考慮便利性，也必須考慮安全。

以防毒軟體賽門鐵克為例，過去該公司防毒軟體並不讓其他軟體監測其運作，但為了符合SP2「資訊安全中心」(security center)的設計，必須開放作業系統蒐集訊息，以知道使用者是否更新病毒碼。賽門鐵克表示SP2使用者在下載更新版，就不會有不能運作的問題。

至於本地ISV，微軟表示已透過MSDN或研討會提供相關訊息，作為修改憑藉。

微軟指出，企業自行開發的應用是最有可能在SP2環境下發生問題的，因此呼籲企業進行測試。對於大型企業，微軟表示已提供微軟技術中心(MTC)相關技術人員協助相容性測試。

不過在企業或個人使用者下載SP2後，不可避免會因為軟體不能使用，或得做修改動作而有抱怨。陳宣霈表示，微軟客服中心或支援人員，都已展開SP2的訓練，協助解決問題。

「我不會說這是抱怨，但是企業為了安全，一定要面臨使用經驗的改變。」她說。