Microsoft确认另一个零日漏洞

微软周一在一系列公司产品中发布的软件组件中确认了另一个零日漏洞

该漏洞驻留在微软的Office Web组件中，该组件用于发布电子表格，网络图表和数据库等功能。根据公告，该公司正在开发一个补丁程序，但并未指明它将在何时发布。

“具体来说，该漏洞存在于Spreadsheet ActiveX控件中，虽然我们只看到有限的攻击，但如果成功利用，攻击者可以获得与本地用户相同的用户权限，“微软安全响应中心的组织经理Dave Forstrom在一篇博客文章中写道。

[更多阅读：如何从Windows PC中删除恶意软件]

ActiveX控件是一个小型附加程序，可在Web浏览器中运行，以实现诸如下载程序或安全更新等功能。然而，多年来，这些控件很容易发生漏洞。

这个新漏洞发布前一天，该公司将发布其每月补丁，包括本月早些时候披露的另一个零日漏洞。这个问题出现在Internet Explorer中的Video ActiveX控件中，目前黑客正在使用驱动式下载尝试。

如果存在特别危险的漏洞，微软已经偏离了打补丁计划并发布了一个循环。

微软表示，如果有人使用Internet Explorer访问恶意网站，这种漏洞可能允许攻击者在计算机上远程执行代码，这是一种被称为驱动器下载的黑客技术。该顾问说：“在任何情况下，攻击者都无法强迫用户访问这些网站，”托管用户提供的内容或广告的网站可能会被利用来利用该漏洞。 “相反，攻击者必须说服用户访问该网站，通常是让他们单击电子邮件或Instant Messenger消息中的链接，将用户带到攻击者的网站。”

Microsoft发布了一个受影响的软件列表，其中包括Office XP Service Pack 3，2003 Service Pack 3，多个版本的Internet安全和加速服务器以及Office Small Business Accounting 2006等。

在补丁程序准备就绪之前，Microsoft提供了一个选项管理员将禁用在Internet Explorer中运行的Office Web Components并提供了说明。