據10月12日國外消息報道,微軟已承認錯誤,決定發布一款補丁修補IE7上一個容易導致用戶遭受攻擊的漏洞。微軟Windows安全團隊在公司博客上解釋說,該系統漏洞源于IE7在Windows XP和Server 2003環境下處理統一資源標識符(URI)的方式。URI是一個地址的開頭,用于指定使用哪個程序來運行文件或鏈接。例如,一個地址以“mailto:”開頭地址可以啟動一個電子郵件客戶端;用戶點擊URI鏈接后,Windows會調用ShellExecute函數來運行URI指令。
據了解,研究人員幾個月前首次發現攻擊者可以通過IE啟動Firefox進而劫持用戶的電腦,對此微軟遲遲不肯承認這是它的責任,稱此問題應該由第三方應用程序負責。后來Mozilla修復了Firefox,此事暫時告一段落。但不久又有安全研究人員發現此問題實際上是由URI協議的處理方式造成的,并波及許多第三方應用程序。IE較早的版本一般會自行檢查URI,如果鏈接中包含非標準的地址格式,那么這個鏈接就不會得到執行。但是,安全專家稱,IE最新的版本允許執行非標準化的鏈接,結果就給那些惡意程序打開了方便之門,一些惡意程序可以潛藏在鏈接程序中得到執行。
微軟表示將推出一款補丁來修復這一漏洞。不過它并沒有說明具體何時發布最新的補丁程序,只是建議研究人員目前先自行采取措施,以保證系統安全。而Windows安全專家稱Vista系統不存在這個安全隱患,因為它里面的一個安全插件可以阻止系統運行URI,從而保護Vista系統下的IE7免受攻擊,但是XP和2003系統中并沒有安裝這種安全插件。
(第三媒體 2007-10-13)