IE缺陷的危险等级被提高 微软坚持“慢工出细活”
在利用一个缺陷的恶意代码被发布到互联网上后,一家安全厂商警告称, IE浏览器中三个尚未得到修正的缺陷更危险了。
该安全厂商表示,它已经将IE浏览器中这些缺陷的危险等级提高至“极度危急”。该公司的技术总监托马斯。克里斯腾森说,IE 6中的这些缺陷,能够使黑客在用户不知情的情况下在用户的计算机上安装和执行间谍件等恶意代码。
GreyHats安全集团于12月21日在互联网上发布了一份安全公告,其中包含有利用IE HTML Help控件中一个缺陷的代码。克里斯腾森表示,我们将一个缺陷的危险等级定为“极度危险”的标准是,已经有利用该缺陷的恶意代码出现,而且无需用户的参与。他说,这是我们最高的危险等级,也是对用户修正系统的最高级别的警告。
安全厂商表示,该恶意代码能够用来攻击运行Windows XP SP2的计算机。它建议,作为一种预防措施,在微软发布相应的补丁软件之前,用户应当关闭IE的Active X支持。安全厂商还建议用户使用其它的浏览器软件。
公告中还对另一个HTML Help 控件缺陷提出了警告。同时利用该缺陷与拖放缺陷,黑客可以对用户的计算机进行攻击━━当然了,这需要用户的参与。
该安全厂商早在去年10月份就发布了针对这三个缺陷的警报。克里斯腾森说,微软早在去年10月份就知道了这三个缺陷。我个人看来,在二个多月的时间里开发不出修正缺陷的补丁软件是不大可能的,尤其是在有关缺陷的详细资料被公开的情况下。他表示,微软已经完全知晓这三个缺陷,我认为它肯定会非常重视这一问题。
微软表示,它正在调查缺陷利用代码的报告,补丁软件的推迟发布与开发有效的补丁软件所需的大量工作密切相关。微软的一名代表说,需要指出的是,安全响应需要在时间和测试之间掌握一个平衡,微软发布补丁软件需要经过认真的设计和充分的测试--无论需要1 天、 1 周、1 个月,甚至更长的时间,发布不完善的补丁软件甚至还不如不发布补丁软件。
微软建议用户检查他们是否很好地遵守了安全的上网指南,并建议用户将IE的互联网安全区域的值设定为“高”。它还建议SP2 用户开启自动升级功能。
这也标志着微软强化其产品安全的努力再次受到了挫折。在8 月份发布SP2 时,微软的主席盖茨称它是在反击黑客攻击方面迈出的重要一步。
相关文章
- 瑞星发布2004年度报告 病毒、黑客威胁呈四大趋势
- 圣诞病毒攻击开始发威 专攻IE浏览器和PHP服务器
- 网民安全意识已提高 电子邮件病毒明年将十分罕见
- 微软提前发布新安全补丁 弥补暴露一个月的IE漏洞
- 近墨者黑 新的微软IE漏洞竟牵连其他厂商的浏览器