【编者按】这次微软公布了漏洞，但与以往有些不同的是，并没有发布与之相关的漏洞补丁，尤其是WORD漏洞，据称在本月内都不可能有补丁出现。对于国内诸多用户而言，这无异于坐在一个随时喷发的火山之上。

    IT168从江民、瑞星等信息安全厂商了解到，到目前为止，他们还没有接到客户报告，即目前用户的安全威胁还没有一个是由本文所述的安全漏洞造成的。可见此次微软公布的漏洞安全威胁级别很高，然而现在还没有对国内用户产生实际危害。

    与此同时，信息安全厂商也提醒广大用户，虽然目前还没发现国内有利用这些漏洞进行攻击的例子。但由于WORD漏洞短期内没有补丁可打，希望大家还是采取一定的预防措施——应在微软未发布补丁之前， 不要随便打开来源不明的doc文档。同时这些厂商也将密切关注可能出现的针对这几个漏洞的病毒攻击，所以及时升级病毒库也很必要。

    【IT168 资讯】每月我们都要为了各种补丁而疲于补漏，然而近日除了Windows操作系统出现漏洞外，Windows media player与微软的WORD程序也纷纷爆出漏洞缺陷。

    一、Windows Media Player惊现漏洞，用户最好升级到更高版本

    日前安全公司FrSIRT在微软的Windows媒体播放器上发现了一处“危险”级别的安全缺陷，该公司称由于这一缺陷的存在，可能使黑客对Windows媒体播放器大做手脚，导致用户的Windows媒体播放器不支持部分文件格式。FrSIRT称这一安全漏洞存在于Windows媒体播放器9和Windows媒体播放器10两个版本上，黑客可以利用这一安全隐患，对不设防的用户计算机进行攻击，随意在“被攻击用户”的电脑上运行未经授权的软件、造成拒绝服务式攻击。

    另外一家安全公司eEye Digital也在一份预警报告中称，这一安全漏洞属于缓冲溢出造成的，当用户播放“.asx”格式的文件时，便可能出现上述情况。

    微软称用户可以对IE浏览器进行重新设定，阻止浏览器对“.asx”格式的文件进行自动访问，从而避免遭受攻击。另外关闭“主动脚本”功能也能减少感染的机会，但不能完全排除感染的可能。而发现漏洞的FrSIRT公司则建议用户升级到Windows媒体播放器11版本，目前这一版本尚没有发现被感染的报告。

    微软安全响应中心表示，他们正在调查其它引起溢出方式的可能性。虽然目前还没有可利用的代码，但eEye公司相信利用事件是有可能的。Secunia把这个溢出问题列为 “高危”等级。除了避免同时打开多个ASX播放列表外，eEye建议用户针对ASX使用另外的媒体播放器。

    二、微软Word再现高危险性0day漏洞

    近日微软Word被发现了一个新的0-day漏洞，微软已经发布了一个安全公告确认了该消息。

    该漏洞影响的版本包括Microsoft Word 2000,Microsoft Word 2002,Microsoft Office Word 2003,Microsoft Word Viewer 2003,Microsoft Word 2004 for Mac以及Microsoft Word 2004 v. X for Mac，另外Microsoft Works 2004，2005和2006套装由于包含Word同样会受到影响，漏洞可能会造成内存出错。

    目前还没有有效的应急解决方法或反病毒定义，微软建议用户“不要打开或保存Word文件”，即使它们来自可信任来源。这一高危险级警报正好发生于微软12月补丁发布前一周，但目前微软没有就何时修补该漏洞做出表态。

    三、其他常规补丁最新信息

    除了上述两个漏洞对应的补丁外，回顾上周微软的安全问题解决小组迎来了最为繁忙的一周。周二微软公司接到警告称“在Word上发现了一处限制级别的安全漏洞”；周四微软则表示将在下周发布多款针对Visual Studio和Windows的安全补丁，但微软公司没有透露这些补丁是否针对上面提到的Word和Windows媒体播放器出现的漏洞。

    根据微软12月Patch Tuesday计划预报来看，12月微软将发布7个安全更新，其中6个针对Windows，一个针对Visual Studio，同时恶意软件清理工具和WSUS程序上也都会有相应的补丁更新发布。具体补丁的详细信息如何我们还需要等待几天后的正式发布查看具体补丁情况。