|
||||
北京7月7日凌晨1點(美國當地時間7月6日10點),微軟公司向全球用戶發布了最新的安全通告(Security Advisory 972890),證實了Windows XP、Windows Server2003系統的視頻控件(Microsoft Video ActiveX Control)中存在一個漏洞(360安全中心命名為『MPEG-2視頻』0day漏洞)。利用該漏洞,黑客可在用戶使用IE瀏覽器時,無需用戶做任何操作就能獲得對用戶電腦的本地控制權。微軟聲稱,互聯網上已經出現針對這一漏洞的攻擊。
微軟在通告中表示,目前尚未發現針對該視頻控件全部類標識的惡意利用,但建議Windows XP和Windows Server 2003的用戶取消IE瀏覽器對所列類標識的支持。雖然Vista和Windows 2008用戶不受該漏洞的影響,但微軟亦建議這些用戶取消對該控件的支持。用戶可通過手工設置注冊表的方式,來禁止IE瀏覽器中運行視頻控件。
微軟在通告中聲稱,目前正全力研制漏洞補丁,但並未透露發布安全補丁的具體日期。據360安全專家介紹,『MPEG-2視頻』0day漏洞是360安全中心在7月4日通過惡意網頁監控系統發現的。
360安全專家透露說,微軟在給360安全中心的反饋郵件中,就360安全中心第一時間向微軟公司通報該漏洞的詳細信息表示感謝,並表示期待今後能與360安全中心在安全領域保持更良好的長期合作關系。
據悉,該漏洞由DirectShow視頻開發包的相關組件產生,與今年5月曝出的『DirectShow視頻開發包』0day漏洞屬於同一類型,極易被黑客利用進行『網頁掛馬』攻擊,使訪問者的電腦自動下載安裝任意木馬程序。360安全專家表示,打開360安全衛士的網頁防火牆功能,能有效攔截此類惡意網頁,避免用戶因無意中點擊而被『中招』。
來自360安全中心的監控數據稱,截至7月6日24時,至少有3494家網站被『掛馬』,相應『掛馬網頁』數高達44136個。360安全衛士已為用戶攔截了3560483次『掛馬』攻擊。這意味著,已經數百萬用戶受到攻擊。