微软在7月8日发布了其月度安全补丁,却由此引发了微软Access数据库软件中存在的这个安全缺陷。问题在于Snapshot查看器ActiveX控件中,这个控件可以允许用户不用启动Access数据库就可以查看Access报告。
或者通过创建特定页面,或者利用现有的网页,攻击者可以利用这个安全漏洞发起攻击。黑客所需要做的就是通过垃圾邮件或即时通讯软件消息来引诱用户到这些攻击页面中。
赛门铁克表示,在微软的IE7浏览器中,在首次下载一个ActiveX控件的时候会向用户发出提示。但是在IE6中,如果这个控件是被微软进行了数字签名的,那么它将自动下载。
一旦这个ActiveX控件被下载后,这个安全漏洞可以让黑客完全控制计算机。
赛门铁克建议将IE的安全性评级设定为不运行ActiveX控件以防止中招。至今为止微软没有表示什么时候来发布一个修补补丁。微软本月的月度补丁包将在8月12日发布。
赛门铁克上个月已经表示,黑客软件作者们已经开始在Neosploit工具中使用这个Snapshot查看器安全漏洞,Neosploit是一个黑客们用来扫描计算机安全漏洞的工具。
不过从上周开始,Neosploit的作者已经停止销售这款黑客工具,或许是因为它的定价(3000美元)太高了,而且它的市场需求正在下降。