【TechTarget中国原创】微软周二发布了本月的三个严重漏洞补丁，更新蓝牙和IE的漏洞，黑客可以利用这些漏洞运行恶意代码，并获得对计算机的访问权限。

　　蓝牙、DirectX和IE中的漏洞被分级为严重，但是安全专家说在IT管理员应该高度重视Active Directory中的一个漏洞，尽管这个漏洞级别是重要。

　　Active Directory安全公告MS08-35解决了Active Directory在微软 Windows 2000 Server, Windows Server 2003 and Windows Server 2008.上执行时的漏洞。补丁管理厂商Lumension Security负责安全解决方案的副总Paul Zimski说，虽然黑客必须要经过登录认证才能利用该漏洞，但是一旦成功，黑客就可以关闭关键的系统。

　　他说：“Active Directory的漏洞会影响商业操作的能力，有时候，它对商业的影响之大确实需要关注。”

　　安全厂商Qualys Inc.的漏洞研究经理 Amol Sarwate表示赞成，并呼吁本月的混合补丁包。他说，严重漏洞解决了桌面用户的问题，而之前这些漏洞被定为重要，他们影响服务器用户。

　　Sarwate说，MS0Active Directory漏洞和实际通用组播（Pragmatic General Multicast，PGM）协议漏洞MS08-036，可以被用来使一个系统崩溃。

　　MS08-034解决Winsows中的蓝牙堆栈漏洞，该漏洞允许执行远程代码。这个公告的级别是严重，因为黑客可以用它远程控制受影响的系统，并安装程序，甚至察看、更改或删除数据，或者创建一个完全用户权限的新帐户。

　　Zimski说，大部分企业可能都没有需要蓝牙的商务，他建议暂停这项功能。他说，这种类型的攻击并不典型，但是它很危险，因为它可能不被认为是攻击的携带者。

　　MS08-031，也是严重级别，它解决了IE中的呼叫操作和目标认证问题。如果用户使用IE访问特别的网页，这个漏洞就会允许执行远程代码。Microsoft Windows 2000 Service Pack 4,，Windows XP上的IE5.01和IE6 以及Windows XP 和 Windows Vista支持的IE 7会受到影响。

　　MS08-033修复了两个严重的微软DirectX漏洞，如果用户打开了特制媒体文件，这个漏洞就会允许执行远程代码。Lumison的Zimski说，DirectX漏洞很危险，因为它可以利用体文件发送攻击。DirectX在解决MJPEG and SAMI格式文件的时候存在问题。

　　Zimski 说：“这是我们通常会相信的事物，不会在网关和网络边界层面受到拦截的事物。”

　　IBM的互联网安全系统的X-Force的研究人员发现了媒体解决漏洞。IBM在一次陈述中说，这个漏洞可能会“在不久的将来被用以发动攻击，通过控制网站的恶意文件，或者可能会通过把恶意文件附加到垃圾信息中。”

　　MS08-032是Microsoft’s Speech API中的问题，它的级别是中等。如果用户访问特制的网页，该漏洞可以执行远程代码，并且激活Windows中的Microsoft Speech Recognition功能。

　　微软发布公告后，赛门铁克把ThreatCon提升到了2级，因为微软解决的漏洞范围从本地权限的扩大一直doa 远程核心代码的执行。赛门铁克建议它的用户尽快修复这些漏洞。