微軟防ADODB.Stream程式 漏洞仍在
微軟7月3日公布“使ADODB.Stream失效的程式”,通過更改設(shè)定使得從IE上無法再使用ADODB.Stream,以此來避免Download.Ject等的攻擊。但這并非是修補(bǔ)安全漏洞。即使安裝了該程式,安全漏洞依然存在,因此,無法防止通過ADODB.Stream以外的控制項(xiàng)發(fā)起的進(jìn)攻。
本文引用地址:http://www.ex-cimer.com/article/182664.htm6月以來,即使是安裝了所有的修正程式的IE,還是可能僅僅因?yàn)g覽Web網(wǎng)頁和Html郵件而遭受攻擊,而且越來越嚴(yán)重。在Download.Ject這類攻擊手法中,利用了IE的跨域(Cross Domain)安全漏洞和Windows??包含的ADODB.Stream。ADODB.Stream是可以讀寫文件的ActiveX控制項(xiàng),與安全漏洞并沒有任何關(guān)系,只是被Download.Ject利用來突破安全漏洞。
US-CERT建議說,在微軟公布完善的解決方案之前,不僅要通過設(shè)定使IE無法再使用ADODB.Stream,還要“使JavaScript和ActiveX控制項(xiàng)失效”、“不要點(diǎn)擊可疑郵件中給的鏈結(jié)”以及“使用殺毒軟體”。
本文由 CTIMES 同意轉(zhuǎn)載,原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E5%BE%AE%E8%BD%AF/%E5%85%AC%E7%94%A8%E7%BD%91%E9%99%85%E4%BC%BA%E6%9C%8D%E8%BD%AF%E4%BB%B6/VIRUS/0407071923RH.shtmll
評(píng)論