發表于:2009-12-05 00:00:00來源:騰訊科技人氣:3236
騰訊科技訊 北(běi)京時間12月4日消息,據國外(wài)媒體(tǐ)報道,微軟今日表示,它将在下(xià)周二發布6個安全補丁,其中(zhōng)包括一(yī)個可修複IE零時攻擊漏洞的補丁。微軟在上周才剛剛承認那個漏洞。
微軟在其安全響應中(zhōng)心博客上表示,此次安全升級将一(yī)共修複12個漏洞,涉及的産品包括Windows、IE和Office軟件套裝。
第一(yī)個安全補丁将對IE5.01、IE6、IE7和IE8進行升級,這個補丁的安全級别爲“嚴重”,也是微軟補丁評級系統中(zhōng)的最高等級。
微軟在11月23日發布的一(yī)份安全顧問書(shū)中(zhōng)承認,IE中(zhōng)存在一(yī)個零時攻擊漏洞。這次的安全補丁将修複該漏洞。微軟安全響應中(zhōng)心發言人Jerry Bryant上周在宣布發布安全顧問書(shū)的博客文章中(zhōng)表示:“我(wǒ)想指出的是,任何平台上的IE8均未受到該漏洞的影響,在Windows Vista系統中(zhōng)以安全模式運行IE7可以緩解這個問題。”
微軟在相關概念驗證型攻擊代碼被公開(kāi)後發布了安全顧問書(shū),那個攻擊代碼被發布給了流行的Bugtraq安全郵件列表中(zhōng)的用戶。黑客可利用那個漏洞劫持安裝好全部補丁的Windows系統電腦。
然而,下(xià)周二的補丁将修複微軟目前仍支持的所有版本的IE浏覽器中(zhōng)的漏洞。微軟在周四已經确認了這一(yī)點。Bryant在另一(yī)篇博客文章中(zhōng)表示:“我(wǒ)們想讓客戶們知(zhī)道,我(wǒ)們将在下(xià)周二修複IE公告闆中(zhōng)第977981号安全顧問書(shū)中(zhōng)提到的安全漏洞。”
Bryant所說的安全顧問書(shū)就是微軟上周剛剛發布的那份安全顧問書(shū)。他說:“我(wǒ)們知(zhī)道客戶們很擔心這個問題,我(wǒ)們也知(zhī)道相關的概念驗證型攻擊代碼已經被公開(kāi)了。”
微軟在安全顧問書(shū)中(zhōng)指出了這個問題的重要性,因爲運行在Windows 2000、XP、Vista、Server 2003甚至Windows 7中(zhōng)的所有版本的IE兩年前都包含一(yī)個或更多漏洞。隻有微軟最新版的服務器産品Server 2008和Server 2008 R2要相對安全一(yī)點。
然而,nCircle Network Security的安全事務主管Andrew Storms表示,那并不意味着IE5.01和IE8突然就會受到上周發布的零時攻擊代碼的攻擊。微軟承認這次準備發布的IE升級補丁将修複多個漏洞。對于微軟來說,用一(yī)個補丁修複多個漏洞的情況是相當罕見的。
Storms在與微軟安全響應中(zhōng)心取得聯系後表示:“上周的零時攻擊代碼不能攻擊IE8,這次還将修複其他一(yī)些漏洞。”
微軟此次打算發布的安全補丁涉及的産品還包括Windows、Office 2000、Office 2003、Microsoft Project 2000、2002以及2003。微軟這次準備發布的6個補丁中(zhōng)有3個是嚴重級的補丁,其餘3個是重要級的補丁。(編譯/林靖東)