【大澳门威尼斯人赌场官网12月17日讯】(自由时报) 过去我们总以为电脑如果要中毒,一定得要开启一个执行档,执行了不该执行的程式才会中毒,至于上网看看网页资料,或是收收信是不会有事的;可是后来层出不穷的“浏览器绑架”事件,让我们的浏览器澳门威尼斯人赌场官网不断地被修改,然后再加上之后IE的安全性漏洞不断传出,我们才被这种切身之痛给“教育”,恍然大悟原来上网浏览网页也会出问题。
那么,现在让我们再来给你震撼教育一下吧;你可知道,浏览图片也有可能会中毒?没错,就是浏览图片,不管你是从Email所收的图片,或是上网路相簿浏览的图片,或是根本只是用ACDSee秀图软体观看在你电脑中的图片,都有可能会中毒!
这是在今年9月由微软所公布的一个名叫“JPEG处理程序(GDI+)处理缓冲区溢出”的安全性漏洞,只要是JPEG格式的图片,经过特殊的处理后,都有可能引发这个漏洞,导致骇客趁虚而入,引发你的系统中毒。
这么说你一定还是不了解,图片档案又不是执行档,为什么会引发中毒?事实上,主要的原因并不在于图片档,而在于微软作业系统中一个“GDIPlus.dll”的动态连结档案;当我们要浏览JPEG图片或是对JPEG档案作影像处理时,多半都要用到这个档案里头的程式指令,而漏洞就存在这个档案里头。
有安全专家发现,当JPEG图档内含有特定的内容时,就会导致“GDIPlus.dll”在处理时发生缓冲区溢位的现象,因而导致系统出现安全性漏洞,这时骇客就可以趁机命令电脑下载病毒并且执行。
由于很多程式都引用“GDIPlus.dll”当作影像处理的主要连结,所以这个安全性漏洞的影响非常庞大,微软也将这个安全性漏洞的评等提升为“重大”;以Windows XP来说,除非你更新到SP2的版本,否则你就有这个安全性漏洞。
而微软的其它产品,如Office全系列的程式,也都有这些问题存在,至于非微软的产品,则也同样处在不安全的疑虑中。
由于图片病毒属于系统漏洞的一种,所以就算你安装了防毒软体,也不见得能够保证自己电脑的安全,唯一的办法就是去微软网站上下载批次更新档案,将这个漏洞弥补起来。
台湾微软在网站上的“Microsoft安全性公告MS04-028”页面上,已经非常详细公布了关于“JPEG处理程序(GDI+)缓冲区溢位”这个问题的相关资讯,其中列出了微软产品中受到影响的软体清单,这个清单非常长,几乎占了一整个页面,建议你赶快到这个网页上去查一查,看看你有哪些软体需要更新,该公告的网址为:www.microsoft.com/taiwan/security/bulletin/ms04-028.mspx。
另外,这个网站上公布的更新档案仅仅针对微软的产品,如果你有使用其它的影像相关软体的话,你可能要到各家厂商的网站上查询看看,是否有新的更新档案可以下载。
目前第一个利用微软“JPEG处理程序(GDI+)处理缓冲区溢出”所制造出来的病毒图片,是在今年9月底由不知名的人士上传到美国的新闻群组,导致许多人下载了图片之后引发中毒。
而在不久之后的10月份,马上在网路上就出现一只叫做“JPGDownloader”的软体,又被昵称为“病毒图片制造机”,这个程式可以让任何人随便用一个JPEG图档,制作出JPEG图片病毒;不过这个程式攻击的目标,仅针对英文版的作业系统,所以国内目前尚未听到有人成为受害者。
虽然这些可以算是第一批的JPEG病毒,不过JPEG图片所引发的安全性漏洞,并不是第一次,早在两年前,当时的Netscape浏览器就已经发现过类似的图片安全性漏洞,被称为“Netscape Communicator JPEG-Comment Heap Overwrite Vulnerability”,只要在Netscape浏览器上浏览特定的JPEG图片,就会导致漏洞的发生。
不过或许是因为使用Netscape浏览器的人数不多,并没有骇客对这个漏洞感兴趣,所以当时才没有爆发灾情。
简单4步骤 看图更安心
现在我们为你示范,如何来下载批次档案,更新你电脑中的安全性漏洞;步骤很简单,却可以让你以后看图片时不用提心吊胆,防不胜防。
〈步骤1〉
连上网站(//www.microsoft.com/taiwan/security/bulletin/ms04-028.mspx )后,检视你需要更新的程式或系统,如果你的Windows XP还没更新到SP2的话,建议你先点选Windows XP的中文版更新连结。
〈步骤2〉
到中文版的更新档案下载页面,首先记得选择要下载的是中文版的更新档案,之后按下右上角的下载按钮,开始下载。
〈步骤3〉
接下来就会跳出一个视窗,询问你是否要下载该档案,点选“储存档案”的按钮就开始下载,下载完毕后执行这个档案即可。
〈步骤4〉
之后别忘了再回到刚开始的页面,继续检查你还有什么其它软体的安全性漏洞没有更新,然后依照前面的步骤一一加以更新。 (//www.dajiyuan.com)