微軟下周將修補ActiveX安全漏洞

微軟安全回應中心（MSRC）於周三（7/8）公布了下周所要發表的6項安全更新，將修補日前揭露的Microsoft Video ActiveX Control漏洞。

Microsoft Video ActiveX Control為一微軟ActiveX控制器，這是微軟媒體中心的主要元件，可連結微軟DirectShow過濾裝置以補捉、記錄，或播放影片，當使用者透過IE瀏覽器使用該ActiveX控制功能時，可能損壞系統狀態並讓駭客有機可趁。該漏洞影響Windows XP及Windows Server 2003作業系統。

除了微軟證實已接獲駭客透過該漏洞進行攻擊的報告外，McAfee Avert Labs研究人員亦指出，已在許多中國網站上發現針對該漏洞所設計的攻擊程式。駭客可以透過該漏洞在使用者電腦上安裝木馬程式，再繼之傳送其他惡意程式。

Computerworld拆穿微軟早在一年半以前就知道該漏洞，只是遲遲未修補。微軟安全回應中心經理Mike Reavey說明修補漏洞的複雜性，表示微軟的確是在去年春初取得該漏洞報告，並即時展開調查，而且證實該ActiveX控制器含有安全漏洞，只是，微軟並不僅針對單一的漏洞修補，而是要同時調查是否有其他相關的漏洞，以確定更新程式能夠完全修補漏洞；Reavey說，事實上他們的確發現ActiveX控制器中的其他介面亦藏有安全風險。

Reavey指出，僅更新程式碼可能並不夠，直接關閉或移除功能才是根本解決之道。但要關閉某些功能時，亦必須確保這些措施不會影響其他的應用程式。

先前微軟即曾針對該漏洞提供暫時性的補救措施，使用者可以手動設定，或是利用微軟的自動設定功能進行修補。在微軟於下周二（7/14）發表例行性更新前，微軟仍建議使用者採用暫時性修補以保護系統安全。（編譯/陳曉莉）