微软修复了严重的OOfice Web Components 漏洞。这些漏洞自微软上个月获悉后已被活跃利用。

　　微软还发布了修复Active Template Library中的ActiveX漏洞的更新。这个错误可以让攻击者绕过kill-bit，这是微软采用的一种可以在不修复主要漏洞的情况下，阻止攻击者利用复杂的互操作漏洞的功能。

　　微软周二共发布了九个安全更新，包括影响Windows和 Office Web Components的六个严重更新。
 
　　MS09-043修复 Microsoft Office Web Components中的四个漏洞。攻击者利用这些漏洞可以完全控制受影响的计算机。微软 Web Components允许用户查看网络上的电子表格、图表和数据库。

　　漏洞是内存分配缺陷、堆栈错误和HTML脚本漏洞和缓冲器溢出漏洞可以被远程利用。上个月微软发布了公告，警告对Web Componets漏洞的攻击。漏洞存在于用于在IE中显示浏览中的数据的电子表格ActiveX Control中。

　　软还回顾了Active Template Library（ATL）中的问题。MS09-037修复了五个错误。这些错误可以在用户加载网站上的恶意组建或者控件的时候允许远程代码执行。M09-037是7月28日发布的两个紧急非常规更新的继续，修复活动模板库 (ATL)的多个漏洞，影响IE和Visual Studio。Ryan Smith、Mark Dowd和David Dewey三人岩石刻绕过kill-bit机制的成功工具。微软经常采用这种机制管理存在缺陷的ActiveX控件。

　　在SearchSecurity的一次采访中，IBM的互联网安全系统的Dewey被微软借走，报告ALT初始化漏洞，警告开发人员密切关注更新。这些互操作漏洞可以在过去的15年终给多家厂商使用存在漏洞的Visual Studio版本而配置的Web浏览器控件和插件中发现。Adobe和思科都发布了和ALT问题相关的公告，其他厂商也将相继发布。

　　研究人员发现了绕过微软在过去五年中采用的一些kill-bit的方法，可以攻击超过100个的ActiveX错误。Dewey说ActiveX错误的数量将近千个。这种方法可以激活ActiveX控件在IE中运行，尽管可以通过kill-bit阻止。Dewey说他期望随着微软和其他厂商修复这个漏洞可以不断出现ATL的更新。

　　Dewey说：“补丁本身不是特别困难。在很多情况下，它只是在Visual Studio中配置补丁和重新编译控件的问题。我们发现存在问题的地方首先是在他们的环境中存在的所有控件。，”

　　Dewey说互联网上有上万个控件受到漏洞的影响。大型软件发行商都会受到影响。他说，把他们可能采用的所有不同的ActiveX控件都找出来非常困难。

　　Dewey说：“另一个问题的部分是创建新的更新分配机制，并确保这些补丁都已推出。”

　　微软还发布了远程桌面软件中的两个严重补丁。MS09-044修复微软远程桌面连接的漏洞，攻击者通过欺骗终端服务的用户连接到恶意RDP服务器或者访问恶意网站就可以远程利用该漏洞。微软说这个软件包含堆栈和ActiveX堆栈溢出漏洞。

　　Windows Internet 名称服务 (WINS) 中修复了两个严重漏洞。MS09-039修复WINS中可以被攻击者远程利用的堆栈溢出和整数溢出漏洞。微软说更新可以自动修复用户安装的WINS。WINS在受影响的操作系统版本中是默认安装的。

　　MS09-038修复Windows Media文件处理中的两个严重漏洞。AVI头漏洞和AVI整数溢出错误可以攻击者通过强制用户打开恶意的AVI文件实现远程工具。微软称，成功的攻击可以让攻击者完全控制受影响的系统。更新对Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008的所有支持版本都是严重级别。

　　微软还发布了四个重要公告。MS09-036修复微软架构ASP.NET中的拒绝服务漏洞。MS09-040修复Windows 消息队列服务（MSMQ）漏洞。MS09-041修复工作站服务中的漏洞。MS-042修复Microsoft Telnet 服务中的漏洞。

　　在一次声明中，赛门铁克安全响应部门的高级研究经理Ben Greenbaum说，ActiveX空间是本月微软更新的首要目标。

　　Greenbaum说：“这个月的所有ActiveX问题补丁都很容易攻击，对普通的电脑用户也会造成影响。潜在的威胁时很多新漏洞都可以通过简单地让用户访问包含恶意内容的网页实现。”