在微软上个月发布的10个安全补丁中,MS06-061(KB924191)修正了XML核心服务的一个严重漏洞,不过美国计算机紧急响应小组(US-CERT)、Secunia、ISS X-Force等多家安全机构表示,该服务中另一个“极其危险”的缺陷已经被发现,并遭到0day利用。
接连提出IE7漏洞的丹麦安全机构Secunia指出,这一缺陷只存在于运行IE浏览器的系统中,原因是XMLHTTP 4.0 ActiveX Control中一个未指明的错误,可被攻击者用来控制用户的整个系统,只需诱导用户访问一个恶意网页即可。
IBM的ISS X-Force在起网站上详细列举了该缺陷可能导致的恶性后果,如机密信息被盗、业务中断等。
US-CERT的报告在这里。
微软在日前发布的一份编号927892的安全报告中承认,恶意攻击者已经在利用这一漏洞发动攻击,不过程度有限。
据悉,Windows 2000、Windows XP SP2和Windows Sever 2003均受影响,不过微软表示,在Windows Server 2003及2003 SP1中使用默认设置并打开IE的“增强安全配置”后可避免这一问题。
按照惯例,微软要到下个月的第二个星期二才会发布相关补丁,不过如果“客户需要”,也可能会打破常规,提前给出安全补丁。
