在四月的補丁星期二中，微軟發(fā)布了一個重大的瀏覽器安全更新，修復(fù)了關(guān)鍵IE漏洞。此外，微軟還修復(fù)了一個嚴重的ActiveX控件，該控件涉及產(chǎn)品眾多、影響廣泛，攻擊者正積極的以基于瀏覽器的攻擊方式對相關(guān)產(chǎn)品進行攻擊。

周二，微軟公司發(fā)布了六個安全公告，其中包括4個被定為“嚴重（危急）”級別的公告和兩個被定為“重要”級別的公告，共解決了其產(chǎn)品線上的11個漏洞。

微軟給予嚴重級別的IE更新為最高優(yōu)先級。它影響所有版本的Internet Explorer，解決了五個漏洞，網(wǎng)絡(luò)犯罪分子可以在進行路過式攻擊（drive-by attacks）時利用這些漏洞從而獲取同受害者相同的權(quán)限。對于運行在Windows服務(wù)器上的IE而言，該更新被定為“中等”級別。

“一旦更新被發(fā)布，攻擊者就有能力對該補丁進行逆向工程，他們會發(fā)現(xiàn)代碼中哪些東西被更改了，并找到脆弱的部分，”端點安全廠商Total Defense公司的威脅研究總監(jiān)Don DeBolt說道，“幾天之內(nèi)，他們應(yīng)該就可以開發(fā)出一個漏洞。”

DeBolt表示，對攻擊者來說，利用受害者的漏洞并不困難。使用惡意鏈接或搜索引擎中毒的魚叉式網(wǎng)絡(luò)釣魚攻擊（Spear phishing attacks ）是常見的誘騙終端用戶訪問惡意網(wǎng)站的方法。

IE漏洞中有一個關(guān)于瀏覽器打印功能的問題，以及各種內(nèi)存和JavaScript處理錯誤。此次更新修復(fù)了打印功能，加強了在瀏覽器地址欄中JavaScript的瀏覽器使用。微軟感謝TippingPoint的Zero-day Initiative，VeriSign iDefense公司實驗室和和一些研究人員發(fā)現(xiàn)了編碼錯誤。

ActiveX控件錯誤被廣泛的利用

據(jù)漏洞管理廠商Qualys公司首席技術(shù)官Wolfgang Kandek說，他們還解決了一個Windows通用控件ActiveX控件（Windows Common Controls ActiveX control ）的關(guān)鍵更新。

微軟表示，該更新禁用易受攻擊的Windows通用控件版本，并用新版本替換它。它還發(fā)布了知識庫文件，詳細介紹了部署更新時可能會遇到的常見問題。ActiveX控件的更新涉及Windows上的Office 2003至2010版本，SQL Server 2000至2008版本，BizTalk Server 2002和Commerce Server 2002至2009版本。它還修復(fù)了微軟的開發(fā)工具，Visual FoxPro 8和Visual Basic 6運行系統(tǒng)。

在博客中，Kandek寫道，該更新會影響一些不常用的微軟產(chǎn)品。通過讓受害者訪問針對ActiveX控件的惡意網(wǎng)站，攻擊者可遠程瞄準該漏洞。

“針對基礎(chǔ)漏洞CVE-2012-0158，攻擊者將ActiveX控件漏洞嵌入到一個RTF文件中，誘使目標進入并打開文件，最常見的文件形式是電子郵件中的附件，”Kandek說道，“另一個可能的攻擊媒介是網(wǎng)頁瀏覽，不過通過上面所提到的任何應(yīng)用程序也都是可以攻擊組件的。”

微軟還發(fā)布了一個補丁，修復(fù)了一個影響所有Windows版本的關(guān)鍵漏洞。該WinVerifyTrust簽名驗證（Signature Validation）漏洞影響移植可執(zhí)行（portable executable，PE）文件所使用的Windows功能。一個精明的攻擊者可以在沒有簽名的情況下，修改現(xiàn)有簽名的可執(zhí)行文件，從而完全控制受影響的系統(tǒng)。

最后一個嚴重公告解決了微軟.NET框架中的嚴重漏洞。該更新影響所有支持的.NET框架版本。參數(shù)驗證漏洞是框架驗證參數(shù)過程中（把數(shù)據(jù)傳遞給一個函數(shù)）的一個錯誤。該漏洞可被攻擊者用來攻擊針對.NET的應(yīng)用程序。微軟說，通過在網(wǎng)絡(luò)廣告或論壇中嵌入惡意代碼，該漏洞可被用來進行路過式攻擊。

最后，再來看看微軟發(fā)布的兩個“重要”級別的公告。這兩個公告修復(fù)了統(tǒng)一接入網(wǎng)關(guān)（Unified Access Gateway，UGA）中的兩個漏洞，和Microsoft Office和Microsoft Works中的一個漏洞。 Office Works文件轉(zhuǎn)換器（File Converter）中有一個內(nèi)存錯誤。該錯誤影響Office 2007和Works 9。此外，UGA漏洞可以允許來自外部網(wǎng)絡(luò)的未經(jīng)授權(quán)的用戶訪問微軟UAG服務(wù)器的默認網(wǎng)站。