資料來源:http://taiwan.cnet.com/news/softwar...20091828,00.htm

專家：XP SP2漏洞陸續被發現
CNET新聞專區：Robert Lemos　　19/08/2004


安全研究人員表示已陸續找到微軟Windows XP SP2服務包中所存在的漏洞。

上周，德國Heise安全公司宣佈，他們發現Windows XP SP2服務包中存在兩個漏洞，可用來避開執行不受信賴程式時原本應該出現的警告訊息，這使得電腦入侵者更容易執行在受害者電腦上執行程式碼。

而漏洞評估商PivX的資深安全研究員Thor Larholm也表示陸續還有更多漏洞會被挖出來。Larholm從SP2程式檔公布後就開始偵測漏洞，並通知微軟相關議題，但不願進一步透露細節。

「我很確定未來幾週就可看到很嚴重的漏洞出現，幾個月後也會有蠕蟲避開SP2功能入侵。」他說。

Larholm之前幾年曾多次找出數十個Windows XP與IE瀏覽器的漏洞，之前還放了一個網頁專門公布微軟瀏覽器還沒補好的漏洞。

微軟則不願表示是否已經收到Windows XP SP2新漏洞的報告，僅表示該公司已開始瞭解Heise所提出的問題。

「安全回應中心已經開始瞭解這些報告，」一位公司代表表示，「這項功能原本是要保護用戶，不會執行來自不明來源的執行檔，目前我們還沒聽說有任何人可以藉著e-mail或瀏覽器來避開這項功能的。」

安全研究員也指出微軟雖然在SP2加入幾項新的安全技術，但還沒解決部分廣為人知的議題。比如防火牆雖然改善了，但任何在本地端執行的程式卻可避開防火牆的規範，eEye數位安全公司駭客長Marc Maiffret表示，這是多數個人防火牆程式都會碰到的問題。

Maiffret表示他們也已經開始分析微軟的安全更新，「我們看到一些很有趣的東西，但才剛開始進行一週而已。」

SP2遭發現漏洞的消息將使企業對升級Windows XP更加躊躇，之前就已經有許多公司表示會延後進行更新。

SP2的主要目的是強化Windows XP在處理網路資料，程式，網頁瀏覽以及電子郵件時的安全性。

去年8月11日的MSBlast病毒爆發以來，微軟經過一年多的努力，終於推出SP2服務包。微軟主席比爾蓋茲將SP2描述為Windows有史以來涉及面最廣的一次免費升級，公司已經承認，SP2的開發工作已經影響到了其他專案的進度，比如Longhorn等。

至於XP本身的漏洞，eEye的Maiffret認為更新程式本身是為了強化Windows XP安全性，而非找出作業系統中的全部漏洞。「微軟從沒說過SP2可以封掉所有的安全漏洞。」(李海/陳奭璁)