在微软上个月发布的10个安全补丁中，MS06-061(KB924191)修正了XML核心服务的一个严重漏洞，不过美国计算机紧急响应小组(US-CERT)、Secunia、ISS X-Force等多家安全机构表示，该服务中另一个“极其危险”的缺陷已经被发现，并遭到0day利用。

接连提出IE7漏洞的丹麦安全机构Secunia指出，这一缺陷只存在于运行IE浏览器的系统中，原因是XMLHTTP 4.0 ActiveX Control中一个未指明的错误，可被攻击者用来控制用户的整个系统，只需诱导用户访问一个恶意网页即可。

IBM的ISS X-Force在起网站上详细列举了该缺陷可能导致的恶性后果，如机密信息被盗、业务中断等。

US-CERT的报告在这里。

微软在日前发布的一份编号927892的安全报告中承认，恶意攻击者已经在利用这一漏洞发动攻击，不过程度有限。

据悉，Windows 2000、Windows XP SP2和Windows Sever 2003均受影响，不过微软表示，在Windows Server 2003及2003 SP1中使用默认设置并打开IE的“增强安全配置”后可避免这一问题。

按照惯例，微软要到下个月的第二个星期二才会发布相关补丁，不过如果“客户需要”，也可能会打破常规，提前给出安全补丁。