在四月的補(bǔ)丁星期二中，微軟發(fā)布了一個(gè)重大的瀏覽器安全更新，修復(fù)了關(guān)鍵IE漏洞。此外，微軟還修復(fù)了一個(gè)嚴(yán)重的ActiveX控件，該控件涉及產(chǎn)品眾多、影響廣泛，攻擊者正積極的以基于瀏覽器的攻擊方式對(duì)相關(guān)產(chǎn)品進(jìn)行攻擊。

周二，微軟公司發(fā)布了六個(gè)安全公告，其中包括4個(gè)被定為“嚴(yán)重（危急）”級(jí)別的公告和兩個(gè)被定為“重要”級(jí)別的公告，共解決了其產(chǎn)品線上的11個(gè)漏洞。

微軟給予嚴(yán)重級(jí)別的IE更新為最高優(yōu)先級(jí)。它影響所有版本的Internet Explorer，解決了五個(gè)漏洞，網(wǎng)絡(luò)犯罪分子可以在進(jìn)行路過(guò)式攻擊（drive-by attacks）時(shí)利用這些漏洞從而獲取同受害者相同的權(quán)限。對(duì)于運(yùn)行在Windows服務(wù)器上的IE而言，該更新被定為“中等”級(jí)別。

“一旦更新被發(fā)布，攻擊者就有能力對(duì)該補(bǔ)丁進(jìn)行逆向工程，他們會(huì)發(fā)現(xiàn)代碼中哪些東西被更改了，并找到脆弱的部分，”端點(diǎn)安全廠商Total Defense公司的威脅研究總監(jiān)Don DeBolt說(shuō)道，“幾天之內(nèi)，他們應(yīng)該就可以開(kāi)發(fā)出一個(gè)漏洞。”

DeBolt表示，對(duì)攻擊者來(lái)說(shuō)，利用受害者的漏洞并不困難。使用惡意鏈接或搜索引擎中毒的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊（Spear phishing attacks ）是常見(jiàn)的誘騙終端用戶(hù)訪問(wèn)惡意網(wǎng)站的方法。

IE漏洞中有一個(gè)關(guān)于瀏覽器打印功能的問(wèn)題，以及各種內(nèi)存和JavaScript處理錯(cuò)誤。此次更新修復(fù)了打印功能，加強(qiáng)了在瀏覽器地址欄中JavaScript的瀏覽器使用。微軟感謝TippingPoint的Zero-day Initiative，VeriSign iDefense公司實(shí)驗(yàn)室和和一些研究人員發(fā)現(xiàn)了編碼錯(cuò)誤。

ActiveX控件錯(cuò)誤被廣泛的利用

據(jù)漏洞管理廠商Qualys公司首席技術(shù)官Wolfgang Kandek說(shuō)，他們還解決了一個(gè)Windows通用控件ActiveX控件（Windows Common Controls ActiveX control ）的關(guān)鍵更新。

微軟表示，該更新禁用易受攻擊的Windows通用控件版本，并用新版本替換它。它還發(fā)布了知識(shí)庫(kù)文件，詳細(xì)介紹了部署更新時(shí)可能會(huì)遇到的常見(jiàn)問(wèn)題。ActiveX控件的更新涉及Windows上的Office 2003至2010版本，SQL Server 2000至2008版本，BizTalk Server 2002和Commerce Server 2002至2009版本。它還修復(fù)了微軟的開(kāi)發(fā)工具，Visual FoxPro 8和Visual Basic 6運(yùn)行系統(tǒng)。

在博客中，Kandek寫(xiě)道，該更新會(huì)影響一些不常用的微軟產(chǎn)品。通過(guò)讓受害者訪問(wèn)針對(duì)ActiveX控件的惡意網(wǎng)站，攻擊者可遠(yuǎn)程瞄準(zhǔn)該漏洞。

“針對(duì)基礎(chǔ)漏洞CVE-2012-0158，攻擊者將ActiveX控件漏洞嵌入到一個(gè)RTF文件中，誘使目標(biāo)進(jìn)入并打開(kāi)文件，最常見(jiàn)的文件形式是電子郵件中的附件，”Kandek說(shuō)道，“另一個(gè)可能的攻擊媒介是網(wǎng)頁(yè)瀏覽，不過(guò)通過(guò)上面所提到的任何應(yīng)用程序也都是可以攻擊組件的。”

微軟還發(fā)布了一個(gè)補(bǔ)丁，修復(fù)了一個(gè)影響所有Windows版本的關(guān)鍵漏洞。該WinVerifyTrust簽名驗(yàn)證（Signature Validation）漏洞影響移植可執(zhí)行（portable executable，PE）文件所使用的Windows功能。一個(gè)精明的攻擊者可以在沒(méi)有簽名的情況下，修改現(xiàn)有簽名的可執(zhí)行文件，從而完全控制受影響的系統(tǒng)。

最后一個(gè)嚴(yán)重公告解決了微軟.NET框架中的嚴(yán)重漏洞。該更新影響所有支持的.NET框架版本。參數(shù)驗(yàn)證漏洞是框架驗(yàn)證參數(shù)過(guò)程中（把數(shù)據(jù)傳遞給一個(gè)函數(shù)）的一個(gè)錯(cuò)誤。該漏洞可被攻擊者用來(lái)攻擊針對(duì).NET的應(yīng)用程序。微軟說(shuō)，通過(guò)在網(wǎng)絡(luò)廣告或論壇中嵌入惡意代碼，該漏洞可被用來(lái)進(jìn)行路過(guò)式攻擊。

最后，再來(lái)看看微軟發(fā)布的兩個(gè)“重要”級(jí)別的公告。這兩個(gè)公告修復(fù)了統(tǒng)一接入網(wǎng)關(guān)（Unified Access Gateway，UGA）中的兩個(gè)漏洞，和Microsoft Office和Microsoft Works中的一個(gè)漏洞。 Office Works文件轉(zhuǎn)換器（File Converter）中有一個(gè)內(nèi)存錯(cuò)誤。該錯(cuò)誤影響Office 2007和Works 9。此外，UGA漏洞可以允許來(lái)自外部網(wǎng)絡(luò)的未經(jīng)授權(quán)的用戶(hù)訪問(wèn)微軟UAG服務(wù)器的默認(rèn)網(wǎng)站。