微軟警告網站程式碼漏洞成為駭客焦點

(2008 年 5 月 22 日，台北) 日前報導包括全球知名公益網站等十萬個中文網頁遭駭客入侵，導致善心人士個人資料遭不法利用。為了以防消費者被不實的訊息誤導，台灣微軟特別發表以下聲明：此次遭攻擊係屬於同波攻擊的第二種變形，影響範圍不侷限於亞洲區與特定類型網站。而該波攻擊的型態主要分成兩部分進行，首先駭客採用多種駭客工具針對網站上之應用程式掃描，待發現具有 Cross Site Scripting、SQL Injection、Blind SQL Injection 等應用程式上之風險，隨即進行惡意程式碼之植入。目前植入之惡意程式碼用於轉址並下載植入木馬到個人用戶端。

此次攻擊手法並非利用新的作業系統弱點進行攻擊，而台灣微軟早在 2006 年 4 月就發佈相關資訊安全通告。台灣微軟在此呼籲網頁設計人員應了解並確實網頁設計安全性，根本解決方法需由網頁開發安全程式碼著手。「資料隱碼」(SQL injection) 的相關資訊及解決方法可以在微軟 TechNet http://www.microsoft.com/taiwan/technet 及 MSDN http://www.microsoft.com/taiwan/msdn 上搜尋。

每個月台灣微軟都會定期發佈安全性公告及補充程式，這些補充程式是解決 Microsoft 產品弱點，避免導致拒絕服務、遠端執行程式碼問題以及權限提高等傷害。因此台灣微軟也呼籲用戶，除了安裝防毒軟體外，平日定期使用「Windows Update 自動更新」功能隨時更新程式，將可能造成的不利影響降至最低。此外，台灣微軟也鼓勵用戶註冊免費的微軟電子報以獲得最新安全資訊。

有關 Microsoft Windows 惡意軟體移除工具的資訊，請參閱以下網址：http://go.microsoft.com/fwlink/?LinkId=40573

用戶可到以下網址下載更新程式：http://www.microsoft.com/taiwan/technet/security/bulletin/MS06-014.mspx