天极网 7月8日消息 通过发现网络黑客可以用来在用户的计算机上运行恶意代码的另一种方法,一名计算机科学研究人员已经证明微软公司最新的IE补丁软件存在不足之处。
微软公司于上周五发布了一款旨在保护用户不会受到三个缺陷中的一个缺陷影响的补丁软件,黑客可以利用这三个缺陷通过浏览器危害用户计算机的安全。但是,上周末,一名安全研究人员发现了可以完成相同目的的另一个安全缺陷,微软公司的补丁软件没有修正该缺陷。荷兰的一名计算机专业大学生库帕鲁斯说,微软公司只解决了问题的一部分,它应当已经发现了该缺陷。
这标志着微软公司必须在一周内第三次在安全研究人员公开IE中的缺陷后急匆匆地发布补丁软件。6月初,库帕鲁斯发现有一个网站在利用两个已经被公布的缺陷和最近被修正的缺陷在用户的计算机上安装、运行恶意代码。另外,安全人员上周还发现,一个微软公司在早期IE版本中修正的缺陷仍然出现在了最新的版本中。
微软公司已经承认了最新的问题,并表示将推出更多的补丁软件。微软公司的一名代表表示,我们正在加紧工作,在未来数周内将提供一系列的IE补丁软件,使客户享受到更好的安全保护。微软公司还将积极地对这些报告进行调查。
库帕鲁斯表示,最近的缺陷并非是个新问题,安全研究人员早在今年1月份就讨论了这一问题,最初时它被认为不会造成什么大影响,但这一缺陷是非常严重的,因为它可以与被在6月初发现的其它二个缺陷联合利用。综合利用三个缺陷,黑客可以非常容易地访问运行IE的Windows计算机。他说,我们目前看到的大多数攻击都利用了多个缺陷,每个缺陷能够绕过IE的一个特定的安全功能。如果被单独利用,许多缺陷都没有什么危害,但如果被综合利用,就能够带来相当大的危险。
最初和最新的缺陷都存在于一个组件库和被称作ActiveX的脚本组件中。较“老”的缺陷存在于ADODB.Stream中,最新的缺陷则出在了Application.Shell组件中。
IE中的缺陷非常多,一些安全研究人员建议人们使用其它的浏览器。美国计算机紧急事务响应小组(CERT)也建议安全研究人员将使用非微软公司的浏览器作为六种应急措施之一。(完)
