不明链接要慎重 攻击者锁定微软两安全漏洞

流氓鱼

<font style='font-size:1px;color:white'>ttxhfree</font>
<div class="endsummary">
<ul><li>
　　针对微软的directx media隐患和xml core service漏洞的利用代码已经出现，前者目前还没有相应的补丁，而后者（xml core service漏洞）的修复补丁已经推出，请用户尽快升级。
</li></ul>
</div>
<p style="text-indent: 2em">攻击者已经把目光锁定在微软产品的两个漏洞上，它们分别是未修复的directx media隐患和xml core service漏洞，微软已经在上周释放的ms07-042安全升级中修复了后面那个漏洞。</p>
<p style="text-indent: 2em">杀毒软件公司赛门铁克已经发邮件提醒其deepsight威胁管理服务的客户，并且已经把漏洞的危险等级提升为2。</p>
<p style="text-indent: 2em">赛门铁克在邮件中表示，已经发现首个利用微软directx media sdk dxtlipi.dll activex控件造成缓存溢出的网站。目前微软还没有推出相应的修复补丁。</p>
<p style="text-indent: 2em">赛门铁克称，directx media sdk dxtlipi.dll activex控件很容易引起缓存溢出漏洞，因为它没有对用户提供的数据进行边界检查。一旦成功利用这个漏洞，攻击者就能够在运行这个activex控件的应用程序环境中执行任意代码，而就算利用失败也可能会导致拒绝服务攻击。所幸前提是攻击者必须引诱用户访问某个恶意网页才能实现攻击。</p>
<p style="text-indent: 2em">同时，赛门铁克警告道，一位高级安全工程师已经成功的利用微软在ms07-042升级中修复的xml core service漏洞通过javascript代码造成ie 6.0崩溃，运行ie的操作系统分别是windows 2000/xp sp2。微软表示攻击者通过引诱ie用户浏览某个特别修改过的站点来发起攻击。这个漏洞会影响到windows 2000/xp/vista和office 2003、2007 office system。</p>
<p style="text-indent: 2em">有人认为8月是个不吉祥的月份，因为很多it专员都在这个时间享受暑假，攻击者有机可乘。也有人认为，黑客想使用在black hat大会和defcon会议上学到到新方法来对微软的8月漏洞进行试验。
<p style="text-indent: 2em" align=center><span style="color: black; font-family: 宋体"><span><strong><span style="color: black; font-family: 宋体"><span><strong><font color=#6600ff><font color=#3366ff>学习更多知识与技巧 请点击 </font></font><font color=#ff6600>学院</font></strong></span></span></strong></span></span><img src="http://tech.163.com/newimg/arc_d.gif">
<a href= target=_blank><font style='font-size:1px;color:white'>贴探小黑2007-论坛管理助手</font></a><br /><br /><br><br>