微软月度补丁修复9个漏洞

DoSECU 安全报道 7月16日日消息：微软公司在7月14号的Patch Tuesday里对9个漏洞进行了补丁。其中有两个是被黑客攻击的严重安全缺陷。

微软公司在7月14号的Patch Tuesday中发布了六个安全公告，包括对影响DirectShow和Video ActiveX Control的安全漏洞的修正，而DirectShow和Video ActiveX Control也是被黑客攻击的目标。

公告总计公布了9项系统漏洞。其中的三项–即影响DirectShow和Video ActiveX Control的漏洞和Embedded OpenType Font Engine中发现的问题都被评定为严重，在微软的可开发性指标中是需要最高级别处理的缺陷，这意味着连续的开发代码是可能的。

本月的公告包括三个影响DirectShow的漏洞，其中一个是针对QuickTime Movie Parser Filter的攻击。攻击者会利用漏洞来诱骗用户公开特殊用途的QuickTime文件或者从网站或者应用软件中接收特殊的流目录。其他两个漏洞是pointer和size validation漏洞。

具体信息可以在微软建议书中看到。

Video ActiveX公告修正了在ActiveX Control msvidctl.dll中发现的单个远程代码执行问题，微软警告说攻击者会通过驱动型下载来利用漏洞发动攻击。

最后一个关键公告MS09-029涉及Windows EOT (Embedded OpenType) Font Engine中的两个缺陷，这些漏洞会允许远程代码执行。公告在Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista和Windows Server 2008系统将漏洞的级别评定为"关键"。

havlik Technologies的首席技术官Eric Schultze在声明中表示"今天的漏洞公告非常重要，因为它针对最近的两个零日攻击-QuickTime文件分析漏洞和最新公布的DirectShow漏洞也推出了补丁。这两个漏洞被称为互联网容易被利用的攻击弱点。我们推荐网络管理员尽可能早的下载和安装这两个补丁"。

其余的公告被评定为"重要"，涉及Microsoft Office Publisher, Microsoft ISA Server，Virtual PC和Virtual Server。

此次没有对Microsoft Office Web Components中的一个缺陷进行修正，公司在7月13号警告说这个漏洞存在被攻击的风险。McAfee Avert Labs汇报说发现新的攻击会利用恶意代码来劫持网站。实验室的安全研究和通信总监戴夫.马科斯解释说，受到威胁的计算机会成为僵尸网络的一部分。

微软还推荐用户阻止Office Web Components在IE浏览器上运行。

未经允许不得转载：DOIT » 微软月度补丁修复9个漏洞