DoSECU 安全报道 7月16日日消息:微软公司在7月14号的Patch Tuesday里对9个漏洞进行了补丁。其中有两个是被黑客攻击的严重安全缺陷。
微软公司在7月14号的Patch Tuesday中发布了六个安全公告,包括对影响DirectShow和Video ActiveX Control的安全漏洞的修正,而DirectShow和Video ActiveX Control也是被黑客攻击的目标。
公告总计公布了9项系统漏洞。其中的三项–即影响DirectShow和Video ActiveX Control的漏洞和Embedded OpenType Font Engine中发现的问题都被评定为严重,在微软的可开发性指标中是需要最高级别处理的缺陷,这意味着连续的开发代码是可能的。
本月的公告包括三个影响DirectShow的漏洞,其中一个是针对QuickTime Movie Parser Filter的攻击。攻击者会利用漏洞来诱骗用户公开特殊用途的QuickTime文件或者从网站或者应用软件中接收特殊的流目录。其他两个漏洞是pointer和size validation漏洞。
具体信息可以在微软建议书中看到。
Video ActiveX公告修正了在ActiveX Control msvidctl.dll中发现的单个远程代码执行问题,微软警告说攻击者会通过驱动型下载来利用漏洞发动攻击。
最后一个关键公告MS09-029涉及Windows EOT (Embedded OpenType) Font Engine中的两个缺陷,这些漏洞会允许远程代码执行。公告在Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista和Windows Server 2008系统将漏洞的级别评定为"关键"。
havlik Technologies的首席技术官Eric Schultze在声明中表示"今天的漏洞公告非常重要,因为它针对最近的两个零日攻击-QuickTime文件分析漏洞和最新公布的DirectShow漏洞也推出了补丁。这两个漏洞被称为互联网容易被利用的攻击弱点。我们推荐网络管理员尽可能早的下载和安装这两个补丁"。
其余的公告被评定为"重要",涉及Microsoft Office Publisher, Microsoft ISA Server,Virtual PC和Virtual Server。
此次没有对Microsoft Office Web Components中的一个缺陷进行修正,公司在7月13号警告说这个漏洞存在被攻击的风险。McAfee Avert Labs汇报说发现新的攻击会利用恶意代码来劫持网站。实验室的安全研究和通信总监戴夫.马科斯解释说,受到威胁的计算机会成为僵尸网络的一部分。
微软还推荐用户阻止Office Web Components在IE浏览器上运行。