IE6再现3个缺陷 微软批评公布者不负责任
2004-11-18 15:08:00 文/蓑笠翁编译 出处:计世网
当地时间本周三,安全信息提供商Secunia公司表示,在软件巨人微软公司的旗舰IE 6版本中,本周又发现存在有三个缺陷。使IE在过去二个月中被发现的缺陷数量达到了19个,其中包括微软公司在10月份发布补丁软件时修正的8个缺陷。
Secunia公司称,最新的缺陷是由二个不同的研究人员发现的。Secunia公司表示,联合利用其中的二个缺陷,恶意内容就能够绕过Windows XP SP2中向用户警告恶意代码的机制。如果网站以一种不安全的方式处理认证服务,第三个缺陷使黑客能够覆盖一个受信任网站上的cookies,从而劫持网络对话。
Secunia公司对前二个缺陷和第三个缺陷的威胁程度等级分别评为“中等危急”和“非危急”。
微软在一份发送给媒体的声明中说:“目前我们还没有接到利用这些缺陷发动攻击或者给用户造成任何影响的报告,我们正在积极地对这三个缺陷进行调查”。微软公司表示,消费者需要接受建议,应该访问其安全站点,家庭用户还可以访问其“PC保护”站点。
微软公司还批评了没有事先向它通报、直接公布软件缺陷的研究人员。微软在声明中说:“我们认为这种直接公开IE中缺陷的做法是不负责任的,可能会使消费者陷于危险之中。我们认为,一般公认的做法是首先向厂商报告软件缺陷,这样将符合各方的利益”。
安全研究人员和黑客并不在意微软公司不要公开揭露其缺陷的劝告。在过去的二个月中,安全研究人员多次直接公开了IE中的危急缺陷和Windows XP SP2中的一些安全问题。病毒已经开始利用该危急的IE缺陷进行传播。
-
IT江湖:
-
科学探索:
2006 经营许可证编号: 粤B2-20050807