MSVidCtl.dll中MPEG2TuneRequest ActiveX控件对象的新漏洞
我们注意到存在利用Microsoft MPEG2TuneRequest ActiveX控件对象中的远程代码执行漏洞进行的主动攻击。我们已发布公告972890,提供指导以帮助客户保持防护。在这篇博客文章中,我们将深入细节,帮助您理解这一问题。
攻击向量是什么?(即用户如何被入侵?)
存在一种“浏览即被攻击”的攻击向量。用户需要被诱导导航至恶意网站或受感染的合法网站才会受到影响。无需进一步的用户交互。
默认情况下,Outlook Express和Outlook在受限站点区域中打开HTML电子邮件。受限站点区域通过阻止在阅读HTML电子邮件时使用ActiveX控件,有助于减少可能利用此漏洞的攻击。
然而,如果用户点击电子邮件中的链接,他们仍可能通过基于Web的攻击场景受到此问题的影响。
哪些配置存在风险?
如公告所示,Windows XP和Windows Server 2003受到影响。请注意,虽然Windows Server 2003被列为受影响平台,但其增强安全配置(ESC)可以有效缓解通过IE从Internet区域发起的攻击。
如何保护自己?
设置kill-bit以禁用MPEG2TuneRequest ActiveX控件对象(CLSID 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF)是我们推荐的缓解当前野外攻击的临时措施。
为什么我们还建议kill-bit msvidctl.dll中的其他几个ActiveX控件对象?
在调查过程中,我们确定msvidctl.dll中托管的ActiveX控件对象均不适用于IE。因此,作为深度防御实践,我们建议kill-bit所有这些控件,如公告972890所述。副作用极小。
如公告所述,我们还提供了一种自动应用此临时措施的方法。您可以点击下面的按钮为此控件设置kill-bit。
请访问Microsoft知识库文章972890获取更多信息。
陈云初,MSRC工程团队