微软DirectX开发包存缺陷

波兰一名安全研究人员表示，微软在2002年发布的DirectX软件开发工具包包含有一个危急缺陷。该研究人员还发布了攻击代码，通过诱骗IE用户访问恶意站点，黑客可以挟持Windows PC。

　　据国外媒体报道，克里斯廷在milw0rm.com上发布了攻击代码。克里斯廷称，DirectX Media 6.0 SDK中包含的FlashPix ActiveX控件包含有一个缓冲区溢出缺陷。更重要的是，据US-CERT本周日发布的一份报告称，由于FlashPix ActiveX控件被认为是“Safe for Scripting”的，IE能够被作为利用这一缺陷发动攻击的通道。

　　克里斯廷称黑客可以利用IE 6发动攻击，但他没有表明IE 7是否也能被用来发动攻击。微软承认正在对克里斯廷披露的缺陷进行调查，但没有回答有关IE 7用户是否也会受到攻击的问题。微软的一名发言人说，如果有必要，微软将发布补丁软件。目前，我们还不知道有利用该缺陷的攻击发生，或客户受到了什么影响。

　　US-CERT表示，可能的攻击方法是恶意站点和垃圾邮件，诱骗用户点击指向恶意站点的连接。另外，黑客也可能利用HTML电子邮件。只要用户一浏览电子邮件，就可能会受到攻击。

　　Secunia对该缺陷的危险程度评级是“高度危急”。US-CERT建议用户采取极端措施━━禁止使用所有的ActiveX控件或通过注册表禁止使用FlashPix控件。US-CERT的警告包含如何设置注册表的指令。

　　尽管在过去的数年中微软在IE 6、IE 7中增添了安全功能，阻止黑客利用ActiveX控件发动攻击，但ActiveX控件仍然是一个大问题。例如，上个月末，Yahoo Widgets中被发现存在一个与ActiveX控件相关的危急缺陷。