據12月4日國外消息報道,微軟今日表示,它將在下周二發布6個安全補丁,其中包括一個可修復IE零時攻擊漏洞的補丁。微軟在上周才剛剛承認那個漏洞。
據悉,微軟在其安全響應中心博客上表示,此次安全升級將一共修復12個漏洞,涉及的產品包括Windows、IE和Office軟件套裝。第一個安全補丁將對IE5.01、IE6、IE7和IE8進行升級,這個補丁的安全級別為“嚴重”,也是微軟補丁評級系統中的最高等級。微軟在11月23日發布的一份安全顧問書中承認,IE中存在一個零時攻擊漏洞。這次的安全補丁將修復該漏洞。微軟此次將發布的安全補丁涉及的產品,還包括Windows、Office 2000、Office 2003、Microsoft Project 2000、2002以及2003。微軟這次準備發布的6個補丁中有3個是嚴重級的補丁,其余3個是重要級的補丁。
微軟安全響應中心發言人Jerry Bryant上周在宣布發布安全顧問書的博客文章中表示:“我想指出的是,任何平臺上的IE8均未受到該漏洞的影響,在Windows Vista系統中以安全模式運行IE7可以緩解這個問題。”微軟在相關概念驗證型攻擊代碼被公開后發布了安全顧問書,那個攻擊代碼被發布給了流行的Bugtraq安全郵件列表中的用戶。黑客可利用那個漏洞劫持安裝好全部補丁的Windows系統電腦。下周二的補丁將修復微軟目前仍支持的所有版本的IE瀏覽器中的漏洞。微軟在周四已經確認了這一點。Bryant在另一篇博客文章中表示:“我們想讓客戶們知道,我們將在下周二修復IE公告板中第977981號安全顧問書中提到的安全漏洞。”Bryant所說的安全顧問書就是微軟上周剛剛發布的那份安全顧問書。他說:“我們知道客戶們很擔心這個問題,我們也知道相關的概念驗證型攻擊代碼已經被公開了。”
據介紹,微軟在安全顧問書中指出了這個問題的重要性,因為運行在Windows 2000、XP、Vista、Server 2003甚至Windows 7中的所有版本的IE兩年前都包含一個或更多漏洞。只有微軟最新版的服務器產品Server 2008和Server 2008 R2要相對安全一點。而nCircle Network Security的安全事務主管Andrew Storms表示,那并不意味著IE5.01和IE8突然就會受到上周發布的零時攻擊代碼的攻擊。微軟承認這次準備發布的IE升級補丁將修復多個漏洞。對于微軟來說,用一個補丁修復多個漏洞的情況是相當罕見的。
(第三媒體 2009-12-05)