大多数版本的Windows存在一个安全漏洞

　　微软星期四（4月17日）发布安全警告称，其大多数版本的Windows存在一个安全漏洞。但是，微软没有许诺要修复这个安全漏洞，也没有说它是否要修复这个安全漏洞和什么时候发布一个补丁。微软在三个星期前还拒绝承认这个问题是一个安全漏洞。

　　微软在安全公告中把这个安全漏洞归类为提升权限的安全漏洞。利用这个安全漏洞能够给攻击者访问被攻破的计算机的更大的权限。这个安全漏洞影响到Windows XP专业版SP2和所有版本的Windows Server 2003、Windows Vista和最新的Windows Server 2008。

　　微软称，虽然这个安全漏洞存在于Windows操作系统中，但是，攻击者能够通过在微软Web服务器“互联网信息服务”上运行的客户Web应用程序来利用这个安全漏洞。通过SQL服务器也能够利用这个安全漏洞。

　　nCircle网络安全公司安全运营经理Andrew Storms说，Web应用程序以较低的权限运行。利用这个安全漏洞能够把这个权限提升到本地系统账户的权限，离管理员权限不远了。你能够使用本地系统账户做很多事情。

　　阿根廷的一位研究人员和安全顾问Cesar Cerrudo几个星期前说，他要在即将召开的一个会议上披露一个Windows安全漏洞。Cerrudo在3月末说，这个安全漏洞能够绕过包括Windows Server 2008在内的最新版本的Windows操作系统的安全措施。

　　Cerrudo说，通过互联网信息服务可以实施这个攻击。通过在NetworkService（网络服务）、LocalService（本地服务）和LocalSystem（本地系统）等不同的账户下运行Web应用程序能够缓解这个风险。

　　微软安全反应中心发言人Bill Sick当时说，Cerrudo披露的信息是一个软件设计瑕疵，不是真正的安全漏洞。他还不重视这个安全漏洞，说Cerrudo的演示没有说明攻击者能够获得访问这些可信赖的账户的方法。

　　Cerrudo在阿联酋迪拜举行的“HITBSecConf2008”会议上演示了这个安全漏洞之后，微软承认了这个安全漏洞并且向用户发布了安全警告。

      视频聊天软件Skype日前被发现存在一个程序错误，该漏洞为网络恶意攻击者实施入侵开启了方便之门，一个网络安全研究机构此前公布了这一消息。

据国外媒体报道，本周四，安全机构Aviv Raff公布了Skype存在安全漏洞的消息。该消息称，Skype软件利用IE浏览器来运行HTML时会出现漏洞，由于Skype公司对该软件的安全监控不够严格，因此攻击者很容易在存在漏洞的用户机上运行恶意代码，其后果将十分严重。

问题出在当Skype运行IE浏览器部件时，其“Local Zone”的安全设置级别很低，因此攻击者几乎可以为所欲为，比如在本地硬盘上读写任何内容，或运行可执行恶意代码，安全研究人员佩特克·佩特克夫本周四在博客上透露了上述消息。

实施攻击前，攻击者通常寻找一个信誉较好、并且存在一名为“跨区脚本错误”漏洞的网站投放诱饵，Skype用户在不知情的情况下会打开并运行恶意脚本。

佩特克夫表示，“攻击得逞的前提条件是，用户通过Skype的添加视频聊天按钮访问DailyMotion网站，并点击触发跨网站脚本矢量器。”比较糟糕的结果是，攻击者会在中招的PC上投放大量经过恶意代码编辑的广告，进一步增大传播的可能性。

上述漏洞影响Skype最新版本3.6.0.244，老版本也可能存在风险。