Microsoft Azure OpenDev—June 2017
安全厂商赛门铁克警告说,尚未修复的Microsoft软件中的漏洞对Internet Explorer 6用户造成的威胁要比下一版本的浏览器更严重。微软Access数据库软件中的漏洞曝光就像微软在7月8日发布它的补丁一样。问题出在Snapshot Viewer ActiveX控件中,它允许有人在不启动软件的情况下看到Access报告。
攻击者通过创建网页来主动利用漏洞或者攻击现有的网页来主持攻击。黑客通过垃圾邮件或即时消息引诱用户访问网页。
Internet Explorer 7会在首次下载特定ActiveX控件之前提示用户。但是,赛门铁克在其咨询报告中称,Internet Explorer 6会自动下载该控件,因为它是由微软数字签名的。
下载ActiveX控件后,该漏洞可能允许攻击者接管PC。
赛门铁克建议管理员可为ActiveX控件设置三个“杀死位”,这是一种Microsoft解决方法,用于阻止ActiveX控件在Internet Explorer中运行。
到目前为止,微软尚未表示计划发布修补程序的时间。
赛门铁克上个月表示,犯罪软件作者在Neosploit中包含了一个针对Snapshot查看器漏洞的漏洞攻击,该漏洞可以让黑客在PC上运行一些漏洞攻击来查看但它有一个没有修补的漏洞
然而上周看来,创建Neosploit的网络犯罪分子已经停止销售它,可能是因为它的价格高达3,000美元 - 太高了,并且需求正在下降。