7月7日消息一个计算机科学研究人员指出了微软为它的IE浏览器所发布的最新的补丁所存在的缺陷,证实网络黑客可以使用一个新的方法在浏览网络的用户的电脑上运行恶意代码。
“他们只是有选择性地解决了其中一部分问题,”荷兰一名计算机科学系的学生JelmerKuperus说,他在在互联网上公布了一个攻击代码,“他们应该已看到了这个。”
这意味着微软将不得不在一个月内第三次应付研究人员公开的IE的安全漏洞。在6月初,Kuperus发现一个网站使用了早先的两个不知名的漏洞,以及最新打上补丁的那一个在受害者计算机上安装恶意程序。
微软承认了这个最新漏洞的存在并说将出台更多的补救措施。
“该公司将想办法在未来的几周里为IE准备一系列安全升级以为用户提供更多的安全保障。”该公司的一位代表说。该公司也将“继续积极地调查这些报告。”
最晚的这个漏洞并不新鲜——安全研究人员早在一月就讨论了这个问题。最初它被认为微不足道,但当该漏洞与6月初发现的其它留给漏洞被结合起来利用时,它的真正危害就显露出来了。所有这三个加在一起可以使黑客很容易就能接入到运行IE的Windows计算机上。
Kuperus说:“今天我们看到的大多数攻击都利用了复合漏洞,(每一种)都绕过了网络浏览器的一个具体的安全功能。就单个来说,这些漏洞大多数都没有什么危害,但组合起来它们就可形成巨大的威胁。”
最初和最新的漏洞都位于一个名为ActiveX的构件和脚本库里。旧的漏洞位于ADODB.Stream,而最新的一个漏洞存在于Application.Shell构件里。
IE的漏洞已变得如此之普遍以至于一些安全研究人员建议人们采用替代的浏览器。美国负责防御网络威胁的一个官方机构,“计算机紧急情况应急小组”(ComputerEmergencyResponse Team)也建议安全管理人员考虑使用一个微软之外的浏览器。
微软建议大家到该公司的“Protect Your PC ”网站查看最新信息。
