3月通过第三方软件的漏洞进行传播的木马病毒有所增多。当用户使用IE浏览器访问了带有木马程序的网页链接时，IE浏览器会通过Windows的ActiveX控件调用这些带有漏洞的第三方软件运行，导致木马程序被下载到系统上运行。这些第三方软件无法通过Windows的自动更新机制进行漏洞修补,而需要用户自己判断漏洞是否存在并手动升级。目前被利用得最频繁的是RealPlay数据库组件漏洞，其显著特征就是用户在访问非视频的网页链接时系统会自动弹出RealPlay软件运行，而RealPlay并无实质的画面播放。一旦成功利用这个漏洞，木马程序会下载一个主程序(名字随木马的不同而不同)到系统主目录中运行，这个主程序运行后会试图通过一个列表下载更多的木马到系统上来运行。详细信息请访问http://www.ccert.edu.cn/announce/show.php handle=129。

　　微软发布了4个安全公告，需要关注的是存在于Office软件中的两个漏洞：
　　(1)微软Excel软件多个远程代码执行漏洞(MS08-014)。Excel软件在导入文件时处理数据的方式、处理Style记录数据的方式、处理条件格式值和处理宏的方式存在多个代码执行漏洞，若打开了精心构造的Excel格式文件，就会导致漏洞被利用而以用户身份在系统上执行任意代码。
　　(2)微软Office软件单元格标注解析内存破坏漏洞(MS08-016)。微软Office软件在处理特定格式的Office文件时存在远程执行代码漏洞。攻击者可能通过创建格式错误的文件来利用该漏洞，该文件可能作为电子邮件附件或者是内嵌在网页中的文档来诱骗用户打开。

　　第三方软件中需要关注的漏洞是：RealPlayer rmoc3260.dll ActiveX控件内存破坏漏洞。rmoc3260.dll ActiveX控件没有正确处理Console属性的输入参数，如果用户访问了恶意站点，就可能触发内存破坏，执行下载木马程序。目前厂商还没有提供补丁程序，建议用户暂时停用RealPlay。

　　为防范系统上的第三方软件被网页木马利用，我们需要做如下操作：
　　1. 删除系统上不必要的第三方软件以减少风险和选择最新版本的第三方软件安装。
　　2. 及时关注第三方软件的官方网站，发现漏洞及时更新。
　　3. 关闭IE浏览器的ActiveX控件功能(可能会影响一些正常功能)或者是使用其他的网页浏览器。
　　(作者单位为CERNET国家网络中心CCERT应急响应组)