微軟於周一(7/6)證實駭客已攻陷Microsoft Video ActiveX Control漏洞,成功的攻擊可遠端執行任意程式,受影響的作業系統包括Windows XP及Windows Server 2003。
Microsoft Video ActiveX Control為一微軟ActiveX控制器,這是微軟媒體中心的主要元件,可連結微軟DirectShow過濾裝置以補捉、記錄或播放影片,當使用者透過IE瀏覽器使用該ActiveX控制功能時,可能損壞系統狀態並讓駭客有機可趁。
微軟安全回應中心工程師Chengyun Chu說明,當使用者瀏覽惡意網站或是被駭的合法網站時,不需任何互動就可能受到駭客掌控。駭客掌控使用者電腦的程度視使用者所設權限而定,設為管理員等級時駭客即可在系統上安裝、刪除程式或建立新帳號。
駭客也可以透過惡意的郵件引導使用者連到惡意網站上,但Microsoft Outlook及Microsoft Outlook Express的預設是在受限區域(Restricted sites zone)中開啟HTML郵件,以避免在讀取郵件時使用ActiveX控制器,但萬一使用者點選了郵件中的連結,仍會受到該漏洞的影響。
Windows Vista或Windows Server 2008之所以未受波及是因為在這些版本的IE中,限制了將資料傳送到該控制器的能力。因此,微軟建議使用者暫時關閉在IE中執行Video ActiveX Control的功能,此外,微軟亦正在開發相關的修補程式,待完成後會釋出安全更新。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement