微软4月补丁星期二修复关键IE漏洞和ActiveX控件问题

在四月的补丁星期二中，微软发布了一个重大的浏览器安全更新，修复了关键IE漏洞。此外，微软还修复了一个严重的ActiveX控件，该控件涉及产品众多、影响广泛，攻击者正积极的以基于浏览器的攻击方式对相关产品进行攻击。

周二，微软公司发布了六个安全公告，其中包括4个被定为“严重（危急）”级别的公告和两个被定为“重要”级别的公告，共解决了其产品线上的11个漏洞。

微软给予严重级别的IE更新为最高优先级。它影响所有版本的Internet Explorer，解决了五个漏洞，网络犯罪分子可以在进行路过式攻击（drive-by attacks）时利用这些漏洞从而获取同受害者相同的权限。对于运行在Windows服务器上的IE而言，该更新被定为“中等”级别。

“一旦更新被发布，攻击者就有能力对该补丁进行逆向工程，他们会发现代码中哪些东西被更改了，并找到脆弱的部分，”端点安全厂商Total Defense公司的威胁研究总监Don DeBolt说道，“几天之内，他们应该就可以开发出一个漏洞。”

DeBolt表示，对攻击者来说，利用受害者的漏洞并不困难。使用恶意链接或搜索引擎中毒的鱼叉式网络钓鱼攻击（Spear phishing attacks ）是常见的诱骗终端用户访问恶意网站的方法。

IE漏洞中有一个关于浏览器打印功能的问题，以及各种内存和JavaScript处理错误。此次更新修复了打印功能，加强了在浏览器地址栏中JavaScript的浏览器使用。微软感谢TippingPoint的Zero-day Initiative，VeriSign iDefense公司实验室和和一些研究人员发现了编码错误。

ActiveX控件错误被广泛的利用

据漏洞管理厂商Qualys公司首席技术官Wolfgang Kandek说，他们还解决了一个Windows通用控件ActiveX控件（Windows Common Controls ActiveX control ）的关键更新。

微软表示，该更新禁用易受攻击的Windows通用控件版本，并用新版本替换它。它还发布了知识库文件，详细介绍了部署更新时可能会遇到的常见问题。ActiveX控件的更新涉及Windows上的Office 2003至2010版本，SQL Server 2000至2008版本，BizTalk Server 2002和Commerce Server 2002至2009版本。它还修复了微软的开发工具，Visual FoxPro 8和Visual Basic 6运行系统。

在博客中，Kandek写道，该更新会影响一些不常用的微软产品。通过让受害者访问针对ActiveX控件的恶意网站，攻击者可远程瞄准该漏洞。

“针对基础漏洞CVE-2012-0158，攻击者将ActiveX控件漏洞嵌入到一个RTF文件中，诱使目标进入并打开文件，最常见的文件形式是电子邮件中的附件，”Kandek说道，“另一个可能的攻击媒介是网页浏览，不过通过上面所提到的任何应用程序也都是可以攻击组件的。”

微软还发布了一个补丁，修复了一个影响所有Windows版本的关键漏洞。该WinVerifyTrust签名验证（Signature Validation）漏洞影响移植可执行（portable executable，PE）文件所使用的Windows功能。一个精明的攻击者可以在没有签名的情况下，修改现有签名的可执行文件，从而完全控制受影响的系统。

最后一个严重公告解决了微软.NET框架中的严重漏洞。该更新影响所有支持的.NET框架版本。参数验证漏洞是框架验证参数过程中（把数据传递给一个函数）的一个错误。该漏洞可被攻击者用来攻击针对.NET的应用程序。微软说，通过在网络广告或论坛中嵌入恶意代码，该漏洞可被用来进行路过式攻击。

最后，再来看看微软发布的两个“重要”级别的公告。这两个公告修复了统一接入网关（Unified Access Gateway，UGA）中的两个漏洞，和Microsoft Office和Microsoft Works中的一个漏洞。 Office Works文件转换器（File Converter）中有一个内存错误。该错误影响Office 2007和Works 9。此外，UGA漏洞可以允许来自外部网络的未经授权的用户访问微软UAG服务器的默认网站。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]