波兰一名安全研究人员表示,微软在2002年发布的DirectX软件开发工具包包含有一个危急缺陷。该研究人员还发布了攻击代码,通过诱骗IE用户访问恶意站点,黑客可以挟持WindowsPC。
据国外媒体报道,克里斯廷在milw0rm.com上发布了攻击代码。克里斯廷称,DirectXMedia6.0SDK中包含的FlashPixActiveX控件包含有一个缓冲区溢出缺陷。更重要的是,据US-CERT本周日发布的一份报告称,由于FlashPixActiveX控件被认为是“SafeforScripting”的,IE能够被作为利用这一缺陷发动攻击的通道。
克里斯廷称黑客可以利用IE6发动攻击,但他没有表明IE7是否也能被用来发动攻击。微软承认正在对克里斯廷披露的缺陷进行调查,但没有回答有关IE7用户是否也会受到攻击的问题。微软的一名发言人说,如果有必要,微软将发布补丁软件。目前,我们还不知道有利用该缺陷的攻击发生,或客户受到了什么影响。
US-CERT表示,可能的攻击方法是恶意站点和垃圾邮件,诱骗用户点击指向恶意站点的连接。另外,黑客也可能利用HTML电子邮件。只要用户一浏览电子邮件,就可能会受到攻击。
Secunia对该缺陷的危险程度评级是“高度危急”。US-CERT建议用户采取极端措施━━禁止使用所有的ActiveX控件或通过注册表禁止使用FlashPix控件。US-CERT的警告包含如何设置注册表的指令。
尽管在过去的数年中微软在IE6、IE7中增添了安全功能,阻止黑客利用ActiveX控件发动攻击,但ActiveX控件仍然是一个大问题。例如,上个月末,YahooWidgets中被发现存在一个与ActiveX控件相关的危急缺陷。
网友评论