微軟產品再現ActiveX控制器漏洞

微軟於周一（7/13）表示該公司正在調查Microsoft Office Web Components中的Spreadsheet ActiveX控制器漏洞，該漏洞可能讓駭客取得使用者權限，微軟已接獲有駭客嘗試攻擊該漏洞的報告。

Microsoft Office Web Components集結了多種元件物件模型（Component Object Model，COM）控制器，主要用來在網路上出版或檢視試算表、圖表，及資料庫。當IE使用此一有漏洞的ActiveX控制器，就可能會損壞系統狀態並讓駭客有機可趁。一旦使用者瀏覽到藏匿惡意程式的網頁，駭客便能執行偷渡式下載，進而掌控使用者電腦。

微軟在部落格中說明，包括OWC10及OWC11等兩個網路試算表控制元件都含有該漏洞，受到影響的產品包括Office XP、Office 2003、BizTalk、Office Accounting and Business Contact Manager及ISA Server等，或是曾手動下載安裝上述元件的使用者。

另外，部份微軟產品的安全限制較嚴格，因此能夠減輕該漏洞所帶來的影響，例如在Windows Server 2003及Windows Server 2008上的IE就在受限的模式下執行，因此能減低下載或執行網路內容的可能性；或是Outlook及Outlook Express在受限網站區域中開啟HTML郵件，會使得駭客不容易直接在使用者讀取郵件時進行攻擊。

使用者可手動設定暫時性措施以避免其安全威脅，或是執行微軟的Fix it自動修補功能。

微軟甫於上周揭露Microsoft Video ActiveX Control漏洞，駭客同樣可以趁使用者透過IE執行該ActiveX控制功能時攻擊該漏洞。

微軟預計在周二（7/14）修補Microsoft Video ActiveX Control，但外界估計微軟應來不及修補Spreadsheet ActiveX控制器漏洞。（編譯/陳曉莉）