微软将采取“适当措施” 可修正“下载警告”缺陷
微软公司已经表示,它将采取“适当的措施”修正IE和Windows XP SP2中存在的一个问题:在下载可能有害的内容时,恶意网站能够绕开浏览器的警告机制。
这一问题最早是由安全厂商Finjan公司在11月15日报告给微软的,微软当时的反应是,Finjan的安全公告是“误导性的,可能是错误的”。当地时间本周一,法国网站K-otik发布了利用该缺陷的样例代码。
美国当地时间本周二,微软的一名发言人表示,微软仍然认为Finjan的安全公告是误导性的,因为在恶意代码执行前,需要大量的用户交互。但微软承认,绕过IE中的警告机制是可能的━━即使在使用Windows XP SP2时也是可能的。该发言人指出,微软正在对绕过IE下载警告机制的方法进行调查,我们将采取适当的措施来解决这一问题。
该发言人承认,如果文件被存储在“启动”文件夹中,在用户重启计算机时,它将自动执行。他说,如果黑客试图将恶意可执行文件保存在Windows 的“启动”文件夹中,用户必须打开包含有该可执行文件的文件夹,并选择运行它,或者登出,然后再登录计算机。
但该发言人指出,这一问题不是一个安全缺陷,而只是社会工程学的聪明运用。他说,需要指出的是,这不是利用安全缺陷的样例代码,而只是黑客利用社会工程学,诱骗用户在没有首先收到IE下载警告的情况下在硬盘上保存可执行文件。
安全专家对微软的这一观点持有疑义。反病毒厂商Sophos澳大利亚分公司的高级技术顾问肖恩表示,该样例代码确实需要一些用户交互,但它的确绕过了IE和SP2 中的安全功能。他说,它绕过了IE中的对话框,将导致恶意文件被存储在用户的计算机上。如果文件被存储在计算机的“启动”文件夹中,那就更糟糕了。
信息安全专业人士理查德表示,应当运用法律手段迫使微软等软件厂商改进它们的代码,并赔偿客户因软件质量而受到的经济损失。他认为,在过去的二十年中,软件的质量下降了。
相关文章
- 欧洲再出病毒警告 Bofra蠕虫病毒借标语广告肆虐
- 微软调整Windows补丁发布周期 将1个月调整为半年
- IE浏览器升级即将成为可能 外挂机制成为升级首选
- IE浏览器 再次曝出三个缺陷 能够破坏SP2安全机制
- 简装Windows XP不进中国 微软暴露跨越三平台野心