微软发布新Windows图形绘制零日报告

　　微软已经发布了一个安全公告警告，关于在Windows图形绘制引擎(Graphics Rendering Engine)中公开披露的漏洞，该漏洞可被用于驾车袭击(drive-by attacks)。

　　这个漏洞会对Windows XP，Windows Server 2003和2008，以及Windows Vista的用户产生影响。

　　微软表示，还没有检测到任何黑客针对该漏洞的恶意攻击。该安全漏洞可被用于驾车袭击(drive-by attacks)或者诱骗用户打开一个恶意的Word或PowerPoint文件。微软还表示，如果远程代码执行漏洞被成功利用，那么一个黑客可以实现对受害者电脑的完全控制，可以安全其他的恶意软件、窃取数据等。

　　该漏洞是在Windows为运行一个应用程序对一个对象进行访问时产生的。恶意缩略图可能导致图形绘制引擎失败。

　　微软的工程师们正在研究一种修补程序来解决该漏洞。微软表示，该漏洞“不符合带外发布标准”。同时，该漏洞对Windows 7和Windows Server2008 R2没有影响。

　　微软表示，作为一种变通方案，受到影响的用户可以修改访问控制列表来限制使用Windows图片传真查看器显示文件。不过这样一来，这种方法将无法显示任何它通常可以处理的媒体文件。

　　该漏洞最初是由安全研究人员Moti Joseph和Xu Hao在韩国举行的社区权利(the Power of Community)安全会议上所作的报告中提出的。作为Metasploit Framework的维护者，他们创造了针对零日漏洞星期二的独立单元。

　　上个月，微软修复了七个Microsoft Office中的漏洞，包括一个影响Microsoft Office图形过滤器的漏洞，该漏洞被用来诱骗用户打开一个恶意图像文件。该漏洞只对Microsoft Works，Microsoft Office Converter Pack(微软Office转换器包)，Microsoft Office XP和Microsoft Office 2003的用户有影响。