微軟繼上週發布 WMF格式影像檔案漏洞的修補程式後，今天(11)再公佈一月份的其他二項安全性更新程式，賽門鐵克安全機制應變中心將這兩項漏洞皆列為重大風險。使用瀏覽器上網或透過Exchange、Outlook收發郵件的用戶都可能受到影響，賽門鐵克提醒使用者即刻進行更新，並留意來路不明的電子郵件或網站連結。

同時賽門鐵克安全機制應變中心強烈建議尚未下載WMF漏洞修補程式的電腦使用者，應立即執行Windows Update，以避免成為駭客鎖定的目標。微軟於1月5日發布Windows WMF圖形轉譯引擎的修補程式，許多惡意程式包含病蟲在內，都被發現利用該漏洞在不同媒介上進行惡意活動，使用者透過瀏覽網頁、使用電子郵件或即時通訊就可能遭受攻擊。

賽門鐵克安全機制應變中心資深經理Oliver Friedrichs表示：「電腦用戶應時時保持警惕，切勿輕易開啟夾帶於電子郵件或即時通訊之中的附加檔案與網站連結。越來越多的駭客利用垃圾郵件進行網路犯罪，並散佈傀儡程式、木馬及間諜程式等犯罪軟體至尚未提防的用戶電腦上。」 若需要微軟2005年1月安全性公告詳細資料，請至下列微軟網站得知︰ www.microsoft.com/technet/security/bulletin/ms06-jan.mspx

1. 微軟安全性公告 MS06-002－網頁字型(Web Fonts)中的緩衝區過溢漏洞 嚴重性等級：重大風險 漏洞的影響：由於微軟Windows內含HTML網頁的支援功能，能夠自動從遠端伺服器下載HTML網頁字型，所以Windows 98等早期作業系統可能因嵌入變形字型而產生遠端緩衝區溢位漏洞。
駭客可藉由該漏洞利用惡意網頁或HTML電子郵件訊息發動攻擊，進而取得整個系統的控制權，但是安裝Windows XP SP2的系統，將不易受到此漏洞的影響。
受影響的作業系統：Windows IE瀏覽器 詳情請參考微軟網站： www.microsoft.com/technet/security/Bulletin/MS06-002.mspx

2. 微軟安全性公告 MS06-003–Microsoft Outlook/ Exchange中TNEF解碼的漏洞 嚴重性等級：重大風險 漏洞的影響：當應用程式執行特殊檔案的編碼時， Microsoft Exchange伺服器和Microsoft Outlook郵件用戶可能遭受遠端執行程式碼漏洞的攻擊。利用該漏洞的駭客可經由電子郵件發動攻擊，而開啟或預覽訊息的使用者或執行該訊息的伺服器都可能受到影響。
受影響的作業系統：Microsoft Outlook、Microsoft Exchange 詳情請參考微軟網站: www.microsoft.com/technet/security/Bulletin/MS06-003.mspx

賽門鐵克的IPS入侵防禦相關解決方案已提供更新定義檔，協助用戶免於IE積存性漏洞的威脅，而針對Sony Rootkit (COM Object漏洞)，賽門鐵克Symantec Network Security 和Symantec Gateway Security 產品亦提供相對應的攻擊特徵，如欲獲得更多資訊請至www.symantec.com/avcenter/security/Content/2005.11.22.html

賽門鐵克建議企業用戶採取以下措施： 評估這些漏洞對其重要系統的可能影響。 規劃必要的回應措施，包括採取合適的安全解決方案來部署更新修補程式，及執行最佳實務準則。 採取主動式步驟以保護網路和資訊的完整性。 確認企業擁有合適及有效的資料備份流程和安全裝置。提醒使用者謹慎開啟所有來路不明的電子郵件附加檔案，及連結來路不明或未被確認的網站。

賽門鐵克建議家庭用戶採取以下措施：
定期執行Windows Update，並且安裝最新的安全性更新程式，以保持軟體處於最新狀態。
勿開啟來路不明的電子郵件附加檔案，及連結來路不明或未被確認的網站。
為了獲得完整的安全防護，可考慮使用整合了防毒、個人防火牆、入侵偵測的資訊安全解決方案如諾頓網路安全大師，以免於今日已知和未知的威脅。