【微軟修補Video ActiveX控制器漏洞】

tan2818

【微軟修補Video ActiveX控制器漏洞】

 

雖然微軟已更新出現攻擊的Video ActiveX控制器漏洞，但仍遺留了另一個ActiveX控制器漏洞。

 

微軟於本周二（7/14）釋出6個安全更新，修補9個漏洞，其中有3個安全更新被列為重大（critical）等級，包括上周揭露的Video ActiveX控制器漏洞更新，但尚未修補新出現的另一個ActiveX控制器漏洞。

三個重大更新分別為MS09-028、MS09-029及MS09-032。

 

其中MS09-028修補了Microsoft DirectShow的3個漏洞，當使用者開啟一個惡意的QuickTime檔案時，駭客就能攻陷相關漏洞並取得使用者權限。

 

MS09-029修補的是微軟視窗元件Embedded OpenType（EOT） Font Engine中的兩個漏洞，駭客藉由上述漏洞執行遠端程式攻擊。MS09-032即是修補已被駭客攻陷的Video ActiveX控制器漏洞。

 

微軟於7月6日證實駭客已攻陷Video ActiveX控制器漏洞，隨後McAfee Avert Labs旋即指出已在許多中國網站上發現針對該漏洞所設計的攻擊程式。

 

雖然微軟有提供暫時修補指南，但研究人員仍建議使用者盡快更新此一零時差攻擊漏洞。

 

其他三個被列為重要（important）更新的為MS09-030、MS09-031及MS09-033，MS09-030修補一個位於Microsoft Office Publisher中的漏洞，駭客可透過惡意的Publisher檔案控制使用者系統；

 

MS09-031修補微軟ISA Server 2006中的單一漏洞，可允許駭客擴張使用者權限；MS09-033修補的是位於Microsoft Virtual PC及Microsoft Virtual Server中的一個漏洞，該漏動可能讓駭客執行任意程式並掌控客座作業系統。

 

雖然微軟已更新出現攻擊的Video ActiveX控制器漏洞，但仍遺留了另一個ActiveX控制器漏洞，這是Microsoft Office Web Components中的Spreadsheet ActiveX控制器漏洞，甫於本周被揭露，當IE使用此一有漏洞的ActiveX控制器以瀏覽藏匿惡意程式的網頁時，駭客就能執行偷渡式下載並進而掌控使用者電腦，微軟並已接獲駭客嘗試攻擊該漏洞的報告。

 

顯然微軟來不及在本周更新此一零時差攻擊漏洞，但建議使用者透過手動及Fixit自動設定功能進行暫時性修補。

 

 

引用：http://tw.myblog.yahoo.com/jw!Wh2mtbmXFAA0_3UdZO.j4cYZT08-/article?mid=3287