据悉,微软在星期二发布了一个针对Windows中的安全漏洞的“严重级”补丁修复文件,黑客可能会利用这个漏洞对IE浏览器用户发起网络攻击。微软这次发布的MS 05-054号安全公告,是其月度安全补丁发布计划的一部分;这次在公告中发布的补丁文件,还修复了IE浏览器中的其他三个安全漏洞。 在这三个其他安全漏洞中,相信有一个也是严重级安全漏洞,但是微软公司称它还未获知是否已经出现了利用这个漏洞而编写的恶意代码。
微软在其安全公告中提出警告说:“任何人只要成功地利用这些漏洞发起攻击就可以完全控制住受攻击的电脑系统。”这些安全漏洞在目前所有版本的Windows操作系统中的所有版本的IE浏览器中都存在。这个浏览器安全补丁同时还处理了索尼BMG公司的rootkit问题。这个安全补丁阻止了那些索尼BMG公司发行的问题唱片所带的旧版本ActiveX控件的运行。 这个rootkit软件原本是用作防盗版工具,但是后来安全公司发现其本身存在安全问题。
微软的补丁令赛门铁克安全公司将其ThreatCon全球安全威胁指数提高到2级,即预计可能会大规模爆发相关的网络攻击。当计算机用户浏览某个特定的恶意网站时,恶意网站就可以利用IE浏览器中的这些安全漏洞,在存在漏洞的计算机上自动下载和运行恶意代码。微软公司称,这样就会在计算机用户毫不知情的情况下对他们造成危害。赛门铁克公司安全反应部的高级经理Oliver Friedrichs说:“这些安全漏洞使得网络诈骗变得越来越容易了,这些网络诈骗都是通过在有漏洞的计算机上安装恶意软件而进行的。赛门铁克公司已经在网络上发现了利用这些安全漏洞的一些代码,建议用户尽快安装补丁修复漏洞。”
据称,其中有一个严重的漏洞,与IE浏览器处理某些特定的文件目标模型的方式有关,这个问题在2005年5月的时候已经报道过。 当时,专家们认为它可能会导致拒绝服务式攻击而令IE浏览器崩溃。但是在11月份的时候,专家们提高了这个问题的严重程度,因为人们发现黑客们还可以利用这个安全漏洞在有漏洞的计算机上远程运行恶意代码。微软公司自己已经提出过警告,称这个安全漏洞很容易被黑客利用,在有漏洞的计算机系统中下载恶意代码。安全监视公司Secunia公司认为这个问题已经达到了“极其严重”的地步,这个级别是它很少使用的最高级的危险标准。
微软在星期二发布的补丁,它所针对的第二个严重级的IE浏览器漏洞,与微软公司在十月、八月和七月的安全公告中所述的问题类似。微软公司说,本月发布的安全补丁,切断了IE浏览器与浏览器可能会进行不适当的访问的、某些其他的微软公司软件之间的关联性,以避免系统受到危害。
在微软的公告中解决的另外两个IE浏览器安全漏洞,相对而言就没有多大的危险性了。其中一个安全漏洞,与浏览器显示文件下载对话框的方式有关。 微软公司称,因为这个问题的存在,计算机用户在访问某个恶意网站的时候可能会被欺骗而去运行恶意代码。攻击者利用另一个安全漏洞可以获知计算机用户正在访问哪些网址,即使被访问网址的连接经过了加密(通常显示为以“https”开头的网址)也不能避免被攻击者知晓。微软称,这种情况只有在系统用户通过某种特定的代理服务器上网的时候才可能发生。
另外,微软还同时发布了一个Windows 2000系统中的越权漏洞。微软公司在MS 05-055号安全公告中称,攻击者利用这个漏洞,可以完全控制受感染的计算机系统,但是需要攻击者拥有受攻击的计算机的本地接入才行。
微软公司要求用户们立即安装这些补丁。微软公司补丁机制,比如Windows自动更新等的用户,通常并不需要采取特别的措施来接收补丁。 微软公司要求其他用户在其网站上下载并安装这些补丁。
(第三媒体 2005-12-15)
