微軟警告 Video ActiveX Control 漏洞將有零時差攻擊

微軟於週一發佈資訊警訊，證實駭客已攻陷 Microsoft Video ActiveX Control 漏洞，使用者將可能遭受零時差弱點攻擊。駭客將可藉由此一漏洞，在遠端進行惡意攻擊，受影響的作業系統包含 Windows XP 及 Windows Server 2003 。

微軟資安工程師 Chengyun Chu 於該公司自家技術支援網站 (Security Research & Defense) 部落格指出，當使用者瀏覽惡意網站或是被駭的合法網站時，即使本身沒有採取任何動作，也可能遭到駭客掌控。

微軟 Video ActiveX Control 乃是該公司之 ActiveX 控制器，這是其媒體中心主要元件，可連結微軟 DirectShow 過濾裝置以補捉、記錄或播放影片，當使用者透過 IE 瀏覽器使用此 ActiveX 控制功能時，將可能導致系統損毀並讓駭客有機可趁。

Chengyun Chu 並指出，駭客也可能透過惡意郵件引導使用者連結至惡意網站上，但是 Microsoft Outlook 和 Microsoft Outlook Express 針對開啟 HTML 郵件，均已預設為受限區域 (Restricted sites zone)，以避免在讀取郵件時啟動 ActiveX 控制器。只是，若使用者點選了郵件中的連結，仍可能受到該漏洞之影響。

這次的漏洞，尤其是在微軟 MPEG2TuneRequest 的 ActiveX 控制項目上，更加可能發生。對此，該公司建議，在修補程式未公佈之前，使用者最好暫停使用 ActiveX Control 功能。

微軟公司目前採取的作法，是在其技術支援網站上中提供一個連結，使用者只要點選連結，便可以啟動修復功能，以避免遭受弱點攻擊。

在 2 月份，微軟公佈了 Excel 2007 的零時差弱點攻擊安全建議。當時，該公司係於 4 月時，方才在更新程式中提供弱點修補。

在 6 月份，微軟公佈一整套軟體更新修補程度，其中涵蓋 31 個弱點，遍及 10 個不同的資安公告，而這也是該公司自 2003 年 10 月開始，於每月第 2 個星期 2 定期公佈弱點更新修補以來，歷來最大宗的單日弱點修補事件。

微軟計劃在下週 2 公佈其 7 月份的修補程式。不過，看來該公司恐怕沒有足夠的時間針對 Video ActiveX 控制元件的弱點提供更新修補。