DoSECU 安全报道 7月8日消息:黑客针对微软视频ActiveX控件发动了攻击,该攻击将允许攻击者掌握对系统的完全控制。微软警告称,使用IE浏览器的时候,执行代码是远程的,并且不需要用户参与。
微软正在对以视频ActiveX控件的漏洞发动的攻击进行调查,该攻击将允许攻击者掌握对系统的完全控制。
没有多少人提到过微软的视频ActiveX控件的漏洞,到目前为止才有人报告称该漏洞会影响Windows XP和Windows Server 2003。如果该漏洞被成功利用,攻击者可以获得与本地用户一样的用户权限。微软警告称,使用IE浏览器的时候,执行代码是远程的,并且不需要用户参与。
涉及的ActiveX控件用于捕捉、记录和播放视频时与微软DirectShow过滤器进行连接。该控件同样是微软Windows媒体中心使用的重要控件之一,可为记录和播放电视录像制作过滤图表。
微软的调查显示,微软没有在IE中指定ActiveX控件的用途,用户应该考虑通过在登记的时候的设置关闭该控件,直到出现可用的补丁。人们在工作区部门的咨询栏目中发现了关于该视频ActiveX 控件的一系列类标识符。微软还允许用户自动运行工作区。
"虽然Windows Vista和Windows Server 2008用户不会受到这一漏洞的影响,但是我们建议他们出于综合防御的考虑也应同样在设置中关闭这一控件。"微软安全响应中心团队一成员Christopher Budd在7月6日的博客中写道:"一旦在设置中关闭了这个控件的使用,任何恶意网站利用该漏洞的企图都将不会获得成功。"
虽然Budd没有说明此问题的补丁什么时候会推出,但是该公司的本月度的补丁发布时间定在7月14日。
