微软紧急安全更新 修补IE、Visual Studio安全漏洞

CNET科技资讯网7月30日国际报道 微软周二发布两项紧急安全更新，以修补动态范本程序库(ATL)安全漏洞，此安全漏洞影响Internet Explorer浏览器与Visual Studio。 这次微软发布的两个安全补丁主要修复了六个漏洞，MS09-034主要修复IE中涉及的漏洞，而MS09-035主要处理Visual Studio中允许创建有问题软件组件的漏洞。 第一项重大更新代号MS-09034，适用于所有版本的IE浏览器。另一项是代号MS-09035的Visual Studio更新，被评为普通(moderate)，影响Visual Studio 2005版和2008版，此更新协助开发者修补有安全弱点的Video ActiveX控制与网络软件元件。 微软安全应急中心领导人MikeReavey并表示，微软已知会Adobe、Sun、Google等公司，告知一些与他们软件有关的元件可能受影响。他未进一步说明。 微软的动态范本程序库(Active Template Library，ATL)用来打造网络应用所需的元件，此安全漏洞若是被有心人士利用，网络使用者一造访包藏恶意程序的网站，电脑就可能遭到黑客控制。 Reavey说：“程序库可能用于许多地方，所以程序库内含安全弱点的问题棘手，一旦出现弱点，是整个产业的问题。” 他指出，安全弱点在ActiveX控制，不在IE，但在开发者更新ActiveX控制时提供保护，可防止攻击。 微软上周五即预告，本周二将发布一项更新。Reavey说，这是微软第九次决定不等到下一轮Patch Tuesday安全更新日，就提早发布安全更新。 微软最初在7月6日警告有关ActiveX的问题，当时微软只提供回避此问题的方法。在次周的7月份Patch Tuesday中，微软尚未备妥解决修补这个安全漏洞的安全更新，只建议用手动的"kill bit"方式关闭ActiveX。 但一些安全研究人员仍找到方法突破killbit安全防护，促使微软加快脚步。 Reavey说：“据我们所知，针对微软Kill Bit Control的攻击有限。由于这些攻击，我们发布安全通告保护顾客...但这引起议论纷纷。我们看见更多细节出笼，同时这些更新准备就绪，于是我们现在就发布更新，以免攻击情况愈演愈烈。” Windows 7和 IE8用户不会受到MS09-034涉及的漏洞的影响。 　　微软安全响应中心的安全项目经理Christopher Budd在其博客中表示，之前因使用有缺陷的ATL而发生的漏洞攻击问题已经在MS09-032中解决，然而那个安全补丁禁用了有漏洞的Microsoft Video ActiveX Control，而并没有解决ATL中允许创建有问题软件组件的根本问题。 　　MS09-035中提供了最新的ATL副本供开发人员使用，而不会存在创建漏洞组件的风险。Budd强调说，不是所有使用之前版本的ATL创建的控制都会制造不安全的组件，“这将取决于开发人员在创建控制或者组件的时候所做的决定。”

标签:IE动态安全漏洞安全更新修补IEVisual Studio