2009年7月30日 星期四

避免攻擊鎖定ActiveX 台灣微軟發佈緊急MS09-034、MS09-035 安全更新

反應: 

台灣微軟今(29)日發佈兩個緊急安全更新補充程式編號 MS09-034(重大)、MS09-035 (中度)與安全性摘要報告973882,並強烈呼籲所有用戶應立即啟動「Windows Update自動更新」,或到以下網址下載安全更新補充程式,讓電腦資訊安全獲得保護。

為什麼要發佈這項緊急性更新
在過去的數周內Microsoft 已經發現一起利用ATL 風險取得 msvidctl.dll 控制權的攻擊行為;雖然先前釋出的 MS09-032 已經有效將遏止相關的攻擊行為,但是Microsoft 決定更進一步主動的將所調查發現其他可能針對 ATL 相關的可能風險進行發布與修正;以協助客戶降低可能遭遇相關的風險。一般使用者可以透過線上進行更新 MS09-034 以避免使用IE存取網站時遭遇相對應的風險,至於開發人員則需要額外針對透過 MS09-035 更新所使用的開發工具,並對開發的元件與控制項進行檢測,以避免因為使用具風險的元件進行開發而導致的安全性事件產生。

安全性摘要報告 973882 - 概觀
Microsoft ATL 是軟體開發人員用來為 Windows 平台建立控制項或元件的常用開發工具。透過這個安全性摘要報告和 Microsoft 資訊安全公告 MS09-035 中所述的安全性風險所建立的元件和控制項,可能會因為 ATL 的使用方式或 ATL 程式碼本身的問題,進一步造成資訊洩漏或遠端執行程式碼攻擊的發生。這個摘要報告提供了指引,引導開發人員採取必要措施,確保已建立的控制項和元件不會輕易發生 ATL 問題。
http://www.microsoft.com/taiwan/technet/security/advisory
/973882.mspx

Microsoft 發行下列二個新的安全性公告,解決最近發現的弱點:
安全性公告編號:MS09-034 嚴重性等級:重大
公告標題:Internet Explorer 的積存安全性更新 (972260)
安全性風險的影響:遠端執行程式碼
重新開機需求:需要重新開機
受影響的軟體:Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 上所有支援的 Internet Explorer 版本。

安全性公告編號:MS09-035 嚴重性等級:中度
公告標題:Visual Studio Active Template Library 的安全性風險可能會允許遠端執行程式碼 (969706)
安全性風險的影響:遠端執行程式碼
重新開機需求:需要重新開機
受影響的軟體:Microsoft Visual Studio .NET 2003、Microsoft Visual Studio 2005、Microsoft Visual Studio 2008、Microsoft Visual C++ 2005 和 Microsoft Visual C++ 2008。

下列網頁將提供新發行之公告的摘要資訊:
2009 年 7 月份 Microsoft 安全性公告摘要 (中文版)
2009 年 7 月份 Microsoft 安全性公告摘要 (英文版)

下列一個為新發行新之 Microsoft 安全性摘要報告 :
Microsoft 安全性摘要報告 973882 – Microsoft Active Template Library (ATL) 的安全性風險可能會允許遠端執行程式碼:

Microsoft 即將舉辦一場網路廣播,為客戶解答有關這些公告的問題:
標題:
Microsoft 在 2009 年 7 月非例行性發行之資訊安全公告的相關資訊
日期:
2009 年 7 月 28 日星期二 1:00 P.M. 太平洋時間 (美國和加拿大)
網址:
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032422339

標題:Microsoft 在 2009 年 7 月非例行性發行之資訊安全公告的相關資訊
日期:
2009 年 7 月 28 日星期二 4:00 P.M. 太平洋時間 (美國和加拿大)
網址:
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032422341

請瀏覽 http://www.microsoft.com/taiwan/technet/security 以取得有關此通告訊息的最新資訊。

關於本頁所列和本安全性公告中的受影響軟體:
本清單所列出之軟體版本已經過測試,判斷版本是否受到影響。其他版本已不再包含安全性更新支援,同時也不一定會受到影響。請瀏覽 Microsoft 技術支援週期網站,以瞭解您的產品及版本的支援生命週期

關於資訊一致性:
我們會致力於透過靜態 (郵件型式) 和動態 (網頁式) 內容為您提供精確的資訊。公佈於本網站中的 Microsoft 資訊安全佈告欄內容會臨時根據最新資訊予以更新。這裡和 Microsoft 網頁式資訊安全佈告欄的資訊若發生不一致情形,Microsoft 網頁式資訊安全佈告欄內容為已授權的資訊。

請瀏覽 此頁 以取得有關這些警示的最新訊息。