印象中微軟的操作系統(tǒng)總是眾黑客挑戰(zhàn)技術(shù)極限的實驗場，作為操作系統(tǒng)廠商的微軟，則總是像一個勤勤懇懇的裁縫，幾乎無時無刻不在打補(bǔ)丁，而黑客們又始終都能找出無窮無盡的漏洞來。于是這件事便演變得相當(dāng)有趣——黑客們總在兢兢業(yè)業(yè)鉆漏洞，微軟則總在勤勤懇懇打補(bǔ)丁，雙方總是像在打一場處于拉鋸狀態(tài)的持久戰(zhàn)。日前獲得的消息再次證明了這場持久戰(zhàn)的存在。本周二，微軟再次更新了10個補(bǔ)丁，其中包括6個危急補(bǔ)丁。下面就讓我們看看這次又是哪幾個高危漏洞讓微軟寢食難安吧。

黑客總在兢兢業(yè)業(yè)鉆漏洞，微軟總在勤勤懇懇打補(bǔ)丁

CVE（Common Vulnerabilities and Exposures，通用漏洞披露）編號為CVE-2008-0083的漏洞。這個漏洞危及windows Vista和Windows Server2008系統(tǒng)。
微軟表示：“一個遠(yuǎn)程代碼執(zhí)行漏洞存在于網(wǎng)頁里的VBScript和JScript腳本引擎的解碼腳本之中。如果用戶打開了特制文件或者訪問了正在運(yùn)行特制腳本的網(wǎng)站的話，這個漏洞將允許遠(yuǎn)程代碼執(zhí)行。同時，如果用戶是登錄了管理員賬戶，攻擊者就可以成功利用這個漏洞，從而獲得受感染系統(tǒng)的完全控制權(quán)。此時攻擊者就能安裝程序、瀏覽被感染電腦、改變或刪除被感染電腦上的數(shù)據(jù)，或者創(chuàng)建擁有完全控制權(quán)的新賬號，從而把受害用戶的賬號設(shè)定為更低的系統(tǒng)用戶權(quán)限。在這個漏洞可能導(dǎo)致的攻擊里，賬戶權(quán)限越低的用戶受到的影響越小。”此漏洞由賽門鐵克公司發(fā)現(xiàn)。

CVE編號為CVE-2008-1086的ActiveX Kill Bits漏洞。該漏洞存在于Windows 2000、各個版本的Windows XP、各個版本的Windows 2003、 Windows Vista以及Windows 2008操作系統(tǒng)里。
微軟表示：“一個遠(yuǎn)程代碼執(zhí)行漏洞存在于ActiveX控件的hxvz.dll之中，攻擊者能通過創(chuàng)立特殊處理過的網(wǎng)頁來利用這個漏洞。當(dāng)用戶瀏覽了特殊處理過的網(wǎng)頁的時候，此漏洞將允許遠(yuǎn)程代碼執(zhí)行。從而攻擊者便可以成功利用這個漏洞獲得與當(dāng)前登錄的用戶相同的管理權(quán)限。”安全廠商iDefense公司的“漏洞貢獻(xiàn)者計劃”（Vulnerability Contributor Program，簡稱VCP）發(fā)現(xiàn)了這個漏洞。

CVE編號為CVE-2008-1085的漏洞
微軟表示：“由于Internet Explorer瀏覽器處理數(shù)據(jù)流的方式，造成了在Internet Explorer瀏覽器之中存在一個遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者通過創(chuàng)立一個特殊處理過的網(wǎng)頁便能利用這個漏洞進(jìn)行攻擊。當(dāng)用戶瀏覽過這個網(wǎng)頁以后，該漏洞將允許遠(yuǎn)程代碼執(zhí)行，從而攻擊者便能成功利用這個漏洞獲得與當(dāng)前登錄用戶相當(dāng)?shù)墓芾頇?quán)限。”IE6和IE7在眾多平臺上都首當(dāng)其沖，尤其是在Windows Vista和Windows Server 2008操作系統(tǒng)中。此漏洞由安全機(jī)構(gòu)Secunia發(fā)現(xiàn)。

　　了解更多：http://www.xiaobaixitong.com/

CVE編號為CVE-2008-1088的漏洞：
微軟表示：“一個遠(yuǎn)程代碼執(zhí)行漏洞存在于Microsoft Project特別處理后的Project文件里。通過電子郵件附件的形式，以及經(jīng)過一些特別處理過或者被黑掉的網(wǎng)站發(fā)送錯誤文件，攻擊者便可以利用這個漏洞。”這個危及微軟Microsoft Project Server 2003、Microsoft Project Server 2007、Portfolio Server 2007以及Project Server 2007的漏洞由韓國國家電腦安全中心發(fā)現(xiàn)。

最后是CVE編號分別為CVE-2008-1083和CVE-2008-1087的兩個漏洞。這是兩個GDI處理整數(shù)和文件名參數(shù)的方式里存在的漏洞，分別存在于EMF圖像文件里。這兩個漏洞由iDefense實驗室的“零時差項目 （Zero Day Initiative，簡稱ZDI）”和安全廠商SkyRecon的研究人員共同發(fā)現(xiàn)。