微软修复了Windows中影响视频流媒体技术的零日漏洞，但是没有提供新发现的Office Web Components中的被黑客活跃攻击的危险漏洞的补丁。

　　微软在本周的周二补丁更新中发布了六个更新。微软把其中三个更新级别定为严重，三个严重漏洞修复可以同时修复产品客户端和服务器端的漏洞。

　　两个严重公告修复DirectShow视频流媒体软件中五月发现的的三个零日漏洞，以及最近报告的Video Controller ActiveX控件漏洞。另一个严重公告修复Embedded OpenType Font Engine中的两个漏洞。

　　MS09-032修复Video ActiveX Control零日漏洞。这个漏洞市上周才在安全公告中公布的。漏洞的攻击代码已经在7月11的中国漏洞网站上公布了。对漏洞的工具几乎不需要用户的参与。
 
　　漏洞存在于ActiveX Control msvidctl.dll中，它是Windows Media Center用于创建记录和播放视频的过滤图表的。ActiveX Control是IE中使用的，可以允许攻击者通过浏览器利用漏洞。更新影响Microsoft Windows 2003和 Windows XP的用户。

　　漏洞是IBM ISS X-Force的Ryan Smith和Alex Wheeler在2008年发现的。安全专家对微软用了一年多的时间修复漏洞感到不满。微软说发布更新需要时间，因为许多界面都受到ActiveX Control的影响。但是有些安全专家说微软需要更快的反应。

　　漏洞管理厂商Rapid7的安全研究人员Josh Abraham “我没有发现需要12个月修复漏洞的很好的技术原因或者客户影响的原因，特别是在他们使用killbit来修复的情况下。微软好像在模糊Active X、浏览器和整个操作系统中的界线，而且想要向大家解释当你要对这个巨大的操作系统负责时，使这些补丁不影响终端用户很复杂。”

　　ActiveX是1996年开发的，用于执行独立于Windows的功能。微软周一发布了公告，是关于影响Office Web Components的ActiveX漏洞。BeyondTrust 的技术总监Eric Voskuil说，ActiveX的应用很广泛，要淘汰它是不可能的，但是要禁用终端用户的管理员权限可以大幅降低ActiveX漏洞的攻击。微软还曾经想要通过在IE中配置保护模式并在Windows Vista中改进来访于ActiveX攻击。

　　Voskuil 说：“恶意代码可以做用户能做的任意行为。在大部分的企业环境中，终端用户自己就是和恶意代码一样的威胁。”

　　修复的还有三个DirectShow漏洞，从五月起这些漏洞就在被活跃利用。MS09-028中的三个DirectShow漏洞补丁修复Windows中DirectShow流媒体架构中的问题，这个漏洞影响DirectShow中的QuickTimes解码器。微软称，攻击者曾经使用恶意的QuickTime文件在有些攻击中利用漏洞。微软说利用这些漏洞需要用户的交互动作。更新影响Microsoft Windows 2000、Windows XP和Windows Server 2003。

　　MS09-029严重公告修复Embedded OpenType Font Engine中的两个漏洞。漏洞可以被攻击者远程利用，通过在font中注入恶意代码完全控制系统。微软说font engine解码器命名表和以及Office documents和Web content中的数据记录的方式中存在错误。漏洞主要影响客户端，但是服务器也会受到影响。大部分受控制的环境不应该让人登录到服务器上处理Web内容或者Office文档。

　　Abraham说安全人员应该尽快配置修复漏洞的补丁。研究人员还没有发现针对这个漏洞的攻击。他说：“这是因为人们还没有时间把漏洞变成可用的攻击。”

　　最后一个客户端公告MS09-030是重要级别，修复Microsoft Office Publisher中的漏洞。如果用户打开恶意的Publisher文件，这个漏洞可以允许远程代码执行。漏洞影响Microsoft Office 2000、2003、XP和2007。微软说，Publisher打开、输入和转换2007之前版本的文件的方式存在错误。

　　还发布了两个服务器端的公告。Ms09-031修复Microsoft Internet Security and Acceleration (ISA) Server 2006中的漏洞。漏洞只有在配置Radius一次性密码的时候才会影响ISA Server 2006。MS09-033修复Microsoft Virtual PC and Microsoft Virtual Server中的错误。微软说虚拟PC和虚拟服务器在执行Virtual Machine Monitor特殊操作指南的使用会错误地验证权限等级。

微软七月补丁相关漏洞信息报道：

　　新攻击代码瞄准微软ActiveX零日漏洞

　　微软警告Office Web组件存在新漏洞 影响多种产品

　　微软将修复DirectShow零日漏洞