微軟防ADODB.Stream程式 漏洞仍在

微軟7月3日公布“使ADODB.Stream失效的程式”，通過更改設(shè)定使得從IE上無法再使用ADODB.Stream，以此來避免Download.Ject等的攻擊。但這并非是修補安全漏洞。即使安裝了該程式，安全漏洞依然存在，因此，無法防止通過ADODB.Stream以外的控制項發(fā)起的進攻。

6月以來，即使是安裝了所有的修正程式的IE，還是可能僅僅因瀏覽Web網(wǎng)頁和Html郵件而遭受攻擊，而且越來越嚴重。在Download.Ject這類攻擊手法中，利用了IE的跨域（Cross Domain）安全漏洞和Windows??包含的ADODB.Stream。ADODB.Stream是可以讀寫文件的ActiveX控制項，與安全漏洞并沒有任何關(guān)系，只是被Download.Ject利用來突破安全漏洞。

US-CERT建議說，在微軟公布完善的解決方案之前，不僅要通過設(shè)定使IE無法再使用ADODB.Stream，還要“使JavaScript和ActiveX控制項失效”、“不要點擊可疑郵件中給的鏈結(jié)”以及“使用殺毒軟體”。

本文由 CTIMES 同意轉(zhuǎn)載，原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E5%BE%AE%E8%BD%AF/%E5%85%AC%E7%94%A8%E7%BD%91%E9%99%85%E4%BC%BA%E6%9C%8D%E8%BD%AF%E4%BB%B6/VIRUS/0407071923RH.shtmll