2009年7月7日星期二

微软发布最新的安全通告 - MPEG-2视频0day漏洞

  微软公司向全球用户发布了最新的安全通告(SecurityAdvisory972890),证实了WindowsXP、WindowsServer2003系统的视频控件(MicrosoftVideoActiveXControl)中存在一个漏洞(“MPEG-2视频”0day漏洞)。利用该漏洞,黑客可在用户使用IE浏览器时,无需用户做任何操作就能获得对用户电脑的本地控制权。微软声称,互联网上已经出现针对这一漏洞的攻击。

  该漏洞由DirectShow视频开发包的相关组件产生,与今年5月曝出的“DirectShow视频开发包”0day漏洞属于同一类型,极易被黑客利用进行“网页挂马”攻击,使访问者的电脑自动下载安装任意木马程序。网民一旦访问相应挂马网页,如不采取有效的安全防护措施,浏览器会先假死数秒,随后电脑将自动下载运行由黑客指定的“AV终结者”变种,进而下载大量网游盗号木马广告木马,使个人隐私面临失窃的风险,甚至成为随时被黑客摆布的“肉鸡”。

  
微软在通告中建议WindowsXP和WindowsServer2003的用户取消IE浏览器对所列类标识的支持。虽然Vista和Windows2008用户不受该漏洞的影响,但微软亦建议这些用户取消对该控件的支持。用户可通过手工设置注册表的方式,来禁止IE浏览器中运行视频控件。


来源:360安全中心

没有评论: