微软防ADODB.Stream程式 漏洞仍在

微软7月3日公布“使ADODB.Stream失效的程式”，通过更改设定使得从IE上无法再使用ADODB.Stream，以此来避免Download.Ject等的攻击。但这并非是修补安全漏洞。即使安装了该程式，安全漏洞依然存在，因此，无法防止通过ADODB.Stream以外的控制项发起的进攻。

6月以来，即使是安装了所有的修正程式的IE，还是可能仅仅因浏览Web网页和Html邮件而遭受攻击，而且越来越严重。在Download.Ject这类攻击手法中，利用了IE的跨域（Cross Domain）安全漏洞和Windows??包含的ADODB.Stream。ADODB.Stream是可以读写文件的ActiveX控制项，与安全漏洞并没有任何关系，只是被Download.Ject利用来突破安全漏洞。

US-CERT建议说，在微软公布完善的解决方案之前，不仅要通过设定使IE无法再使用ADODB.Stream，还要“使JavaScript和ActiveX控制项失效”、“不要点击可疑邮件中给的链结”以及“使用杀毒软体”。

本文由 CTIMES 同意转载，原文链接:http://www.ctimes.com.tw/DispCols/cn/%E5%BE%AE%E8%BD%AF/%E5%85%AC%E7%94%A8%E7%BD%91%E9%99%85%E4%BC%BA%E6%9C%8D%E8%BD%AF%E4%BB%B6/VIRUS/0407071923RH.shtmll