微軟為 IE漏洞釋出緊急修補程式

微軟於本周二（7/28）緊急釋出MS09-034及MS09-035更新程式，修補Visual Studio及IE漏洞。

其中，MS09-035主要修補Visual Studio中的多個可能導致遠端程式攻擊的Active Template Library（ATL）漏洞。

微軟將MS09-035列為一般（Moderate）等級，微軟說明，因為採用預設值的Visual Studio並不會受到相關漏洞影響，但那些採用受影響的ALT控制器及元件是有風險的。

ALT為一組C++類別的樣本，讓開發人員可用來打造小型及快速的COM物件，可支援主要的COM功能，包括ActiveX控制器、雙重介面、連接點及標準COM計數介面等。因此，採用ATL的第三方應用程式元件及控制器亦會受到相關漏洞影響。

微軟安全回應中心說明，並非所有利用ATL打造的控制器都有風險，也與開發人員打造控制器或元件時的決定有關，MS09-035更新了ATL，供有需要的開發人員用來建置新的控制器及元件。

至於被列為重大更新等級的MS09-034除了進一步強化縱深防禦（defense-in-depth）機制以避免受到ALT漏洞波及外，也修補了IE中的3個安全漏洞，當使用者透過有漏洞的IE造訪惡意網站時，駭客可趁機執行惡意程式。

微軟表示，MS09-034修改縱深防禦以避免採用有漏洞的ALT打造的元件或控制器影響IE。

MS09-035所修補的漏洞影響Visual Studio .NET 2003、Visual Studio 2005/2008及Microsoft Visual C++ 2005/2008等。MS09-034則影響所有的IE版本，但在Windows 7上執行的IE 8除外。