據悉,微軟在星期二發布了一個針對Windows中的安全漏洞的“嚴重級”補丁修復文件,黑客可能會利用這個漏洞對IE瀏覽器用戶發起網絡攻擊。微軟這次發布的MS 05-054號安全公告,是其月度安全補丁發布計劃的一部分;這次在公告中發布的補丁文件,還修復了IE瀏覽器中的其他三個安全漏洞。 在這三個其他安全漏洞中,相信有一個也是嚴重級安全漏洞,但是微軟公司稱它還未獲知是否已經出現了利用這個漏洞而編寫的惡意代碼。
微軟在其安全公告中提出警告說:“任何人只要成功地利用這些漏洞發起攻擊就可以完全控制住受攻擊的電腦系統。”這些安全漏洞在目前所有版本的Windows操作系統中的所有版本的IE瀏覽器中都存在。這個瀏覽器安全補丁同時還處理了索尼BMG公司的rootkit問題。這個安全補丁阻止了那些索尼BMG公司發行的問題唱片所帶的舊版本ActiveX控件的運行。 這個rootkit軟件原本是用作防盜版工具,但是后來安全公司發現其本身存在安全問題。
微軟的補丁令賽門鐵克安全公司將其ThreatCon全球安全威脅指數提高到2級,即預計可能會大規模爆發相關的網絡攻擊。當計算機用戶瀏覽某個特定的惡意網站時,惡意網站就可以利用IE瀏覽器中的這些安全漏洞,在存在漏洞的計算機上自動下載和運行惡意代碼。微軟公司稱,這樣就會在計算機用戶毫不知情的情況下對他們造成危害。賽門鐵克公司安全反應部的高級經理Oliver Friedrichs說:“這些安全漏洞使得網絡詐騙變得越來越容易了,這些網絡詐騙都是通過在有漏洞的計算機上安裝惡意軟件而進行的。賽門鐵克公司已經在網絡上發現了利用這些安全漏洞的一些代碼,建議用戶盡快安裝補丁修復漏洞。”
據稱,其中有一個嚴重的漏洞,與IE瀏覽器處理某些特定的文件目標模型的方式有關,這個問題在2005年5月的時候已經報道過。 當時,專家們認為它可能會導致拒絕服務式攻擊而令IE瀏覽器崩潰。但是在11月份的時候,專家們提高了這個問題的嚴重程度,因為人們發現黑客們還可以利用這個安全漏洞在有漏洞的計算機上遠程運行惡意代碼。微軟公司自己已經提出過警告,稱這個安全漏洞很容易被黑客利用,在有漏洞的計算機系統中下載惡意代碼。安全監視公司Secunia公司認為這個問題已經達到了“極其嚴重”的地步,這個級別是它很少使用的最高級的危險標準。
微軟在星期二發布的補丁,它所針對的第二個嚴重級的IE瀏覽器漏洞,與微軟公司在十月、八月和七月的安全公告中所述的問題類似。微軟公司說,本月發布的安全補丁,切斷了IE瀏覽器與瀏覽器可能會進行不適當的訪問的、某些其他的微軟公司軟件之間的關聯性,以避免系統受到危害。
在微軟的公告中解決的另外兩個IE瀏覽器安全漏洞,相對而言就沒有多大的危險性了。其中一個安全漏洞,與瀏覽器顯示文件下載對話框的方式有關。 微軟公司稱,因為這個問題的存在,計算機用戶在訪問某個惡意網站的時候可能會被欺騙而去運行惡意代碼。攻擊者利用另一個安全漏洞可以獲知計算機用戶正在訪問哪些網址,即使被訪問網址的連接經過了加密(通常顯示為以“https”開頭的網址)也不能避免被攻擊者知曉。微軟稱,這種情況只有在系統用戶通過某種特定的代理服務器上網的時候才可能發生。
另外,微軟還同時發布了一個Windows 2000系統中的越權漏洞。微軟公司在MS 05-055號安全公告中稱,攻擊者利用這個漏洞,可以完全控制受感染的計算機系統,但是需要攻擊者擁有受攻擊的計算機的本地接入才行。
微軟公司要求用戶們立即安裝這些補丁。微軟公司補丁機制,比如Windows自動更新等的用戶,通常并不需要采取特別的措施來接收補丁。 微軟公司要求其他用戶在其網站上下載并安裝這些補丁。
(第三媒體 2005-12-15)