ChinaByte 12月23日消息 一个网站公布了一个修复微软IE浏览器安全漏洞的第三方补丁。由于这个补丁本身发现了安全漏洞,这个网站不得不重新发布补丁。
在发现第一个补丁包含缓存溢出的安全漏洞之后,Openwares.org网站12月20日发布了第二个补丁。这种缓存溢出的安全漏洞能够让黑客控制采用这种补丁的计算机。因此,这个补丁中的安全漏洞比它要修复的IE浏览器中的安全漏洞还要严重。
据Openwares网站称,大约只有6500人下载了最初的补丁。上个星期ZDNet采访的安全专家警告人们不要安装这种补丁。除了可信任的问题之外,这个补丁的作者不可能接触到IE浏览器的源代码,这个补丁可能会影响到微软未来提供的升级。
微软的代表12月22日没有就此发表评论。
IE浏览器中的安全漏洞是11月份首次发现的。这个安全漏洞能够让浏览器的地址栏显示一个URL地址,而正在看的网页却是另外一个网站的网页。这种漏洞很容易使网络用户受到“phishing陷阱”的欺骗。欺骗性电子邮件在这种骗局中可以把用户引向一个伪装成合法网站的欺骗性网站。Openwares的第一个补丁可以过滤掉任何包含可疑字符的URL地址,只对256个字节以下的有效,超过这个字节长度的地址就会出现缓存溢出的漏洞。
Openwares网站的站长称,这个新版本的补丁在几十位用户的帮助下已经重新进行了编写和测试。如果你不信可以亲自看看新的源代码。
到12月22日上午,已经有2500人下载了这个新补丁。不过,这个数字只是IE浏览器用户的一小部分。目前,90%的网络用户都采用IE浏览器。
目前,微软还没有为这个安全漏洞发布补丁,也没有表示何时发布这个补丁。今年10月,微软开始实施每月发布一次安全补丁的新政策。但是,微软已经表示它12月份将不发布补丁。这样,这个安全漏洞只少要存在到明年1月中旬。(完)
