微软星期二在发布三个严重的安全补丁修复这些安全漏洞时警告称，攻击者能够利用在Windows、Office和IE浏览器软件中的安全漏洞控制用户的计算机并且做各种破坏活动。

　　位于旧金山的nCircle安全公司负责安全漏洞和暴露研究的经理Mike Murray表示，由于可以利用至少两个安全漏洞的代码已经在开始流传，用户应该听从微软的劝告立即使用补丁。他说，使用补丁和发布补丁同样紧迫。利用IE安全漏洞的代码已经广泛流传。利用色彩管理模块中安全漏洞的代码也出现了，尽管这个代码现在还是秘密的。

　　位于亚特兰大的互联网安全系统X-Force公司的小组负责人Neel Mehta警告说，虽然IE安全漏洞目前具有最严重的威胁，但是，黑客将很快利用色彩管理模块中的安全漏洞实施攻击。色彩管理模块中的安全漏洞是一种基于堆栈的缓存溢出漏洞，很容易被利用。当这种安全漏洞出现在主要操作系统的时候，我们感到非常担心。使其成为诱人的攻击目标的另一个原因是很容易引诱人们去观看恶意的图像。

　　安全公告综述

　　第一个安全公告是修复微软Word 2000和2002、Office 2000 SP3、Office XP SP3、Works Suite 2000至2004等软件中存在的一个重要的字体解析安全漏洞。

　　微软称，攻击者可以利用这个安全漏洞控制用户计算机和安装程序，查看、修改或者删除数据，或者使用完全的用户权限创建新的账户。

　　第二个安全公告修复了微软色彩管理模块中的一个严重的安全漏洞。这个安全漏洞发生在这个模块验证ICC色彩描述档格式标签的时候。

　　微软称，攻击者制作一个恶意图像文件就可以利用这个安全漏洞。如果用户访问恶意一个网站或者观看一个恶意电子邮件的图形，攻击者就可以借此机会远程执行恶意代码。成功地利用这个安全漏洞的攻击者可以完全控制用户的计算机。

　　这个安全漏洞影响Windows 2000 SP4、Windows XP SP1和SP2、 Windows XP 64位专业版、Windows Server 2003、Windows Server 2003 SP1、适用于安腾服务器的Windows Server 2003和Windows Server 2003 SP1、Windows Server 2003 64位版 、Windows 98、Windows 98 SE和ME。

　　第三个安全公告是修复影响Windows和IE浏览器中的几个安全漏洞。这个安全漏洞是IE浏览器不能正确显示“JVIEW Profiler COM”对象(javaprxy.dll)。这是微软Java虚拟机的接口。

　　恶意网站能够利用这个安全漏洞造成有安全漏洞的计算机的内存崩溃。攻击者可以利用这个漏洞运行恶意代码。

　　丹麦安全公司Secunia和其它一些机构上个星期对IE浏览器发出警告，称利用这个安全漏洞的代码已经在互联网上公开了。

　　微软很快承认了这个问题并且表示正在调查这个安全漏洞。微软建议用户把他们的互联网和本地的内部网安全区域设置为“高”的等级。微软还表示，用户可以撤销、关闭或者限制访问javaprxy.dll COM对象，尽管这样可能会影响性能。微软现在建议用户使用这个安全补丁。

　　Murray表示，这是一种打鼹鼠的游戏。IT经理人必须要保证其补丁是最新的，并且教育用户安全浏览网页。你要保证用户把浏览器的安全等级设置为“高”。他们需要知道，如果出现警告提示，他们不能置之不理。如果用户要访问雅虎网站，而出现的网站不像是雅虎网站，他们需要知道那就是问题。