微软于日前一口气推出了三个修正程序，以修正三个评比为「最危急（Critical）」的漏洞。这三个漏洞散见于IE浏览器、Windows XP、SQL Server 2000、以及Commerce Server 2000等产品，微软的使用者不得不防。

　　其中有两个漏洞与IE浏览器有关：第一个存在于IE 5.01、5.5、以及6.0等版本。由于上网浏览时，VBScript处理页框的功能并未受到限制，骇客可以藉由此漏洞读取被害者的档案，包括使用者名称、Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码、信用卡号码等机密资料。

　　第二个漏洞则是由于XMLHTTP的ActiveX控制组件未设计完全，直接跳过了浏览器的安全层级设定，导致使用者连上骇客所建立的网站时，就有可能被骇客入侵，而造成资料外泄；这组件散见于IE 6.0、Windows XP、以及SQL Server 2000等产品。

　　第三个修补程序则是Commerce Server 2000的缓冲区溢位问题，骇客可以完全控制被害者的计算机。虽然微软表示，安装URLScan这支程序后，骇客就无法取得计算机的控制权；但骇客还是可能送出封包让服务器当机。微软在重新检视原始码时发现了这个问题，但较早的版本如Site Server 3.0、以及Site Server 3.0 Commerce Edition等都不会受到影响。

　　使用者可以在以下网址阅读详细说明，并下载修正程序：

　　http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

　　http://www.microsoft.com/technet/security/bulletin/MS02-009.asp

　　http://www.microsoft.com/technet/security/bulletin/MS02-010.asp