微软公司已确认其Outlook电子邮件软件中又发现另一个安全漏洞,该公司称它已提供修正程序以对付该故障。微软公司在验明其Outlook和Outlook Express中确实存在漏洞后,已于上周四向这些软件的客户发布修补程序。
Outlook和Outlook Express软件中的漏洞可能会允许黑客利用vCard使Outlook失效,或通过Outlook运行代码。vCard附件是共享地址簿信息的一种公用方式。
像其他许多病毒一样,这种病毒仅是在用户打开电子邮件文档中受感染的附件时才发作。它是由英国程序员Ollie Whitehouse首先向微软报告。
微软已提供修补程序,如同往常一样,该公司敦促用户遵循正确可靠的安全措施,其中包括不要打开突如其来的邮件附件,尤其是来自陌生人的附件。
然而,像上周Kournikova病毒传播时所证明的那样,用户仍都还愿意打开可疑的附件。
据微软公司安全顾问指出,“Outlook Express提供几种元件,同时由它和Outlook(如果在机器中安装的话)使用。一个用来处理vCards的这类元件则包含未检查的缓冲区。”
缓冲区用于在设备或软件中暂时存储数据。编程人员可设计缓冲区以检查输入这些缓冲区数据的长度,并拒绝那些太长的数据进入。如果它们是“未经检查”,则表明没有这类保护措施,用户则可输入任何数量的数据。至于Outlook,未经检查的缓冲区将允许恶意用户创建含有Microsoft叫做“特殊畸形数据”的vCard。当接收者打开这类vCard时,这些数据便溢出可用的缓冲量,并使该电子邮件软件失效。