CNET科技资讯网7月30日国际报道 微软周二发布两项紧急安全更新,以修补动态范本程序库(ATL)安全漏洞,此安全漏洞影响Internet Explorer浏览器与Visual Studio。
第一项重大更新代号MS-09034,适用于所有版本的IE浏览器。另一项是代号MS-09035的Visual Studio更新,被评为普通(moderate),影响Visual Studio 2005版和2008版,此更新协助开发者修补有安全弱点的Video ActiveX控制与网络软件元件。
微软安全应急中心领导人MikeReavey并表示,微软已知会Adobe、Sun、Google等公司,告知一些与他们软件有关的元件可能受影响。他未进一步说明。
微软的动态范本程序库(Active Template Library,ATL)用来打造网络应用所需的元件,此安全漏洞若是被有心人士利用,网络使用者一造访包藏恶意程序的网站,电脑就可能遭到黑客控制。
Reavey说:“程序库可能用于许多地方,所以程序库内含安全弱点的问题棘手,一旦出现弱点,是整个产业的问题。”
他指出,安全弱点在ActiveX控制,不在IE,但在开发者更新ActiveX控制时提供保护,可防止攻击。
微软上周五即预告,本周二将发布一项更新。Reavey说,这是微软第九次决定不等到下一轮Patch Tuesday安全更新日,就提早发布安全更新。
微软最初在7月6日警告有关ActiveX的问题,当时微软只提供回避此问题的方法。在次周的7月份Patch Tuesday中,微软尚未备妥解决修补这个安全漏洞的安全更新,只建议用手动的"kill bit"方式关闭ActiveX。
但一些安全研究人员仍找到方法突破killbit安全防护,促使微软加快脚步。
Reavey说:“据我们所知,针对微软Kill Bit Control的攻击有限。由于这些攻击,我们发布安全通告保护顾客...但这引起议论纷纷。我们看见更多细节出笼,同时这些更新准备就绪,于是我们现在就发布更新,以免攻击情况愈演愈烈。”
用户评论