微软周二发布了两个紧急的非常规更新，修复Active Template Library（模板库）中影响IE和Visual Studio的漏洞。

　　IE的更新还修复了在2009年的黑帽大会在本周三的演示中提到的问题。IDG的Robert McMillan在周一的报告上说研究人员计划演示如何绕过killbit对不安全的ActiveX控件的保护。研究员Mark Dowd、Ryan Smith和David Dewey将演示绕过ActiveX 控件killbit的方法，他们演讲的题目是“The Language of Trust: Exploiting Trust Relationships in Active Content.（可信语言：利用Active内容的信任关系）”

　　IE的更新修复了控件中的利用ATL版本开发的漏洞。MS09-034是严重级别，影响IE的所有版本。更新还修复了三个内存错误漏洞，这些漏洞使IE存在被任意恶意ActiveX攻击的危险。微软说，漏洞可以被攻击者用于全面控制受影响的系统。

　　微软安全响应中心经理Mike Reavey说：“采用了最新安全更新的用户都可以防御和这次非常规补丁相关的已知攻击。”

　　Visual Studio漏洞存在潜在的严重性，因为这种工具是开发人员和独立软件厂商用于创建Windows中使用的组件的。MS09-035 修复了Visual Studio的Active Template Library的三个漏洞。这三个漏洞的存在会导致开发人员开发的应用易受攻击。

　　Reavey说：“为了保证用户尽快受到保护，微软正在鉴别微软创建的危险控件和组件，并提供更新。”

　　ATL包含一个已经初始化的对象漏洞、一个COM初始化漏洞和空字符串（Null String）漏洞。漏洞可以被经过的攻击者利用。攻击者可以通过设置恶意网页，利用Visual Studio创建的应用上的漏洞。

　　赛门铁克安全响应部门的产品经理John Harrison说：“强烈推荐采用紧急补丁，一方面是你不知道模板库的使用范围有多广，我们之前发现问题存在于多种不同的软件包中。”

　　补丁管理厂商Shavlik Technologies LLC.的安全数据小组经理Jason Miller说Visual Studio内置的有些激素项目存在潜在的危险。补丁对于已经使用Visual Studio构建应用的企业来说是个问题。

　　“对于使用了Visual Studio的公司更新是严重级别。配置更新需要很长时间。如果他们认识到把DLL植入到这个产品中存在危险，他们就需要把DLL重新打包。”

微信公众号

TechTarget

官方微博

TechTarget中国