新攻擊趨勢鎖定ActiveX 網路瀏覽影音視訊需留意駭客入侵 台灣微軟發佈七月定期安全公告

（2009年07月15日，台北）台灣微軟今日發佈七月定期安全公告與編號MS09-028~MS09-033共六個安全補充程式，這六個安全補充程式的嚴重性等級分別為3個重大等級和3個重要等級。在本月的安全更新中，台灣微軟特別提醒民眾注意以下兩點：1.編號MS09-032安全補充程式是為避免Microsoft Video ActiveX Control元件所引起的零時差攻擊，風險程度為「重大」，台灣微軟公司強烈呼籲所有客戶應立即使用「Windows Update自動更新」或至以下網址下載修正程式http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-032.mspx，以避免重要資料外洩或遭受惡意程式攻擊。2.微軟安全回應中心（Microsoft Security Response Center，MSRC）根據最新調查研究發現，有駭客蓄意針對Microsoft Office Web相關元件發動相關攻擊，微軟已持續監控相關攻擊行為並將該風險等級提升為「重大」。微軟安全應變中心（Microsoft Security Response Center，MSRC）根據目前之風險狀況已發布安全性摘要報告，請參閱以下網址http://www.microsoft.com/taiwan/technet/security/advisory/973472.mspx；並已經於同時間釋出緊急修正程序http://support.microsoft.com/kb/973472/zh-tw；修正程式完成測試後將立即釋出供使用者更新。

本月安全公告資訊摘要請參考http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-jul.mspx。

駭客針對影音分享行為 發動新零時差攻擊
網路上的影音分享已經成為網路瀏覽者最主要的活動之一，而新的駭客攻擊手法，即是針對影音分享使用行為所發起。從7月7日起中國大陸地區業已發生數千起網址遭受攻擊的事件，攻擊項目係針對Microsoft Video ActiveX控制項弱點而起，企圖大規模影響網路使用者。若使用者瀏覽至惡意或被駭之合法網站，並且觀看網站上的影像視訊時，便讓駭客有可趁之機，可進一步獲取使用者於主機上的權限，並進行相關惡意攻擊行為。
微軟安全應變中心（Microsoft Security Response Center，MSRC）於7月6日便已主動發佈該風險訊息，並隨之釋出緊急應變機制http://support.microsoft.com/kb/972890/zh-tw，提供使用者主動修復相關問題。本月編號MS09-032安全補充程式，即是針對Microsoft Video ActiveX Control元件所引起的零時差攻擊進行修補，民眾可自行下載安全補充程式進行修補http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-032.mspx。

Microsoft Office Web相關元件攻擊陸續出現 竊取使用者資料
此外，微軟安全應變中心（Microsoft Security Response Center，MSRC）在7月13日主動發佈針對Microsoft Office Web 元件風險進行的惡意攻擊警訊。根據研究結果發現該攻擊可使駭客獲取本機使用者權限，進一步導致惡意行為發生。
根據研究發現，部分網站所提供的廣告連結，或是使用者所上傳的內容中，若隱藏攻擊該安全風險的惡意程式，瀏覽該網站或網頁的使用者便會觸發該攻擊程式，而使駭客獲取本機使用者權限。至目前為止，尚未發現攻擊者可以透過強制轉址方式，迫使使用者存取此類惡意網站之情事發生。
微軟安全應變中心（Microsoft Security Response Center，MSRC）除主動發佈該風險訊息外，同時間由於已接獲多起攻擊事件，因此將該風險等級提升為重大，並已釋出緊急應變機制http://support.microsoft.com/kb/973472/zh-tw，提供使用者進行主動修復，相關訊息可於以下網址進行查詢Microsoft安全性摘要報告http://www.microsoft.com/taiwan/technet/security/advisory/973472.mspx。相關修正程式完成後隨時釋出供使用者立即更新。

七月份安全公告及安全性補充程式
台灣微軟今(15)日也發佈了七月份安全公告及編號MS09-028~MS09-033的補充程式，並強烈呼籲所有使用者立即下載，主動避免駭客透過Microsoft產品惡意使用不當手法，導致遠端執行程式碼所造成的損失。本月的資訊安全相關摘要說明如下：
http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-jul.mspx
如需有關今日發行的非安全性更新詳細資訊，請參閱下列知識庫文件：
http://support.microsoft.com/?id=894199