利用代碼為那些未安裝補丁的漏洞存在於微軟的探險家是循環中,擔保公司說,週五,但危險性仍然很低,因為目前的攻擊只是撞車瀏覽器。
全部補丁的windows xp sp2和windows 2000 sp4的系統是開放給新的攻擊,說:大衛科爾,主任賽門鐵克的安全反應小組。 "這是概念證明型代碼,我們沒有看到任何積極的功勳, "科爾說。 "它是否增長到了一些較大的是沉重的聯繫,如果獲得遠程代碼執行[功能] , "他補充說。
消息剛三天後,微軟發布了其最新的安全性更新。上週二,然而,該公司的瀏覽器是不是補丁; 8月修補,最後被釋放三個不同的時代,最近這個星期,又是最後一批即更新。
有沒有補丁現已有漏洞,其中微軟承認,它正在調查。在一個安全顧問於週四,微軟公司在華盛頓州的發展商說,它會釋放一個修補程序,在其定期航班每月更新,或作為一個地地道道的週期補丁。 windows server 2003的是不是處於危險之中。
新的問題,即是有關一個activex控件(微軟directanimation路)的一部分, " daxctle.ocx " com對象。攻擊者成功利用此漏洞能夠劫持用戶的計算機,微軟也承認,沒有任何互動,一旦一個用戶被誘騙到一個惡意網站。
微軟補丁activex控制數倍去年襲擊者發現窗戶沒有妥善檢查,看看是否數據傳遞給控制是在容許的參數。在案件的概念證明型代碼,現已, javascript的通行證不可接受的數據傳送到控制,然後導致一個堆溢出。
科爾說,這不是震驚的activex仍然有問題。 "多一個功能[代碼] ,越有可能出現的一個錯誤, "他說。 "複雜性是敵人的安全,那是一個很棘手的問題要解決。開發商盡量平衡豐富的功能與安全" 。
即使實際,在該野生利用尚未發現,一些安全組織敲響了警鐘。丹麥漏洞跟踪公司secunia ,舉例來說,排名ie漏洞為"非常關鍵,它的更嚴重的警告。
同一個修補程序不可用,賽門鐵克建議用戶檢查出微軟的忠告,其中包括訂定"殺也有點"為activex控制來屏蔽。 ,不過,需要用戶編輯註冊表,有不少是準備這樣做。在此之前,微軟的建議,以訂定具體的殺人鑽頭已採取了由第三方黨研究者,有手搖出自動化工具關掉了控制。
另一個策略時表示,微軟,是要關閉所有activex控制在internet explorer中,從出現的對話框後,選擇工具| internet選項。
互聯網探險家7 ,其中微軟也將發布今年稍後的windows xp (和明年年初捆綁了windows vista ) ,可阻礙了類似的漏洞在未來的日子,說科爾。 "有一些有希望的跡象, "科爾說, "但我們認為ie7將消除所有這些弱點,是罔顧歷史上的電腦安全" 。
事實上,有越來越多的跡象表明,襲擊者可能很快針對web 2.0的應用程序寫在阿賈克斯。其中基於ajax場地和服務,科爾計數熱門的社會網絡的空間,以及新版本的基於網絡的電子郵件,從微軟和雅虎。
"我們已經看到了一點點利益, "科爾說。 " myspace上的蠕蟲和yamanner蠕蟲攻擊雅虎郵件[六月]為難,他們並沒有被剝削的狂妄,但當時既不是阿賈克斯被用作普遍。
"我們會找出不少關於如何脆弱性阿賈克斯是在不太遙遠的未來" 。
源-科技網站