微软警告有三个漏洞影响Windows安全，其是最严重的一个漏洞甚至可以让攻击者完全控制运行Java applet的PC。微软于周三发出的警告与微软在Windows平台运行Java的虚拟机、Windows 2000组件中一个跨网址脚本Bug及影响Proxy Server 2.0与ISA服务器的拒绝服务有关。加上这三个警告，到目前为止微软今年已发布12个新的警告。

　　虚拟机（VM）漏洞是最严重的一个，在微软宣布的漏洞中占有“重要”的位置。VM随绝大部分Windows及IE版本发布，来运行用Java语言编写的称之为applet的程序。

　　当加载applet时，一个称之为ByteCode　Verifier的VM组件不能正确检测出恶意代码，这意味着攻击者可不被觉察地把恶意代码放在被攻击的PC上。这种可通过Web页或Email分发的恶意代码使攻击者在被攻击的PC上运行代码，为所欲为，包括删除硬盘上所有文件以及为将来的攻击留后门。

　　微软公司表示，带有VM的Windows版本包括Windows 95、Windows 98、Windows 98 SE、Windows ME、带有SP1的Windows NT 4.0、Windows 2000及Windows XP.经检测，VM　build 5.0.3802以上版本包括build5.0.3809都有可能受影响，以前的版本也有可能易受攻击。为了避免攻击，请安装下载最新版本即3810及以上版本。关于如何下载及安装的指导可在微软公司的网站上找到。

　　微软公司指出，为了实施攻击，攻击引诱用户访问恶意网站或打恶意Email。但对HTML内容有限制的Email客户端软件如版本比较新的Outlook则可避免这种攻击。

　　第二个漏洞涉及到对Windows 2000及Windows NT 4.0的Microsoft Indexing Service的跨网址脚本攻击。跨网址脚本攻击首次在2000年2月公布，影响许多服务器端软件，使攻击者通过可信网站把恶意代码插入到浏览会话过程中。

　　微软公司表示，一个名为CiWebhitsFile的Indexing Service组件易遭受跨网址脚本攻击，公司已为其提供了补丁。Indexing Service是集成在IIS与Windows 2000中检索服务。

　　同时，Proxy Server 2.0及ISA服务器也存在漏洞，使来自网络内部的攻击者借助于一种特别的数据包可使它们无法工作。这种数据包使软件用户CPU资源，使之不能接受内外部请求。即重新启动，软件又重新正常工作，但是仍会遭受同样的攻击。特别地，这两种软件都含有带有漏洞的WinSock Proxy 服务，这样一来就会使某些客户端应用通过内部服务器路由数据时，也好像与Internet直接相连。微软公司已为此漏洞在公司网站上提供了补丁。