美国东部时间4月11日(北京时间4月12日)消息:微软公司在星期二发布了一个严重级IE浏览器升级补丁,修复了IE浏览器中的10个漏洞,其中包括一个著名的已经被许多攻击者利用的漏洞。
点击进入
微软公司将这个补丁放在了月度补丁包中,另外,微软公司还发布了两个严重级Windows系统漏洞公告,其中一个是OutlookExpress软件中的重要级漏洞,另一个是FrontPage和SharePoint软件的组件中的一个中度级漏洞。Qualys安全公司产品经理JonathanBitle说:“这次发布的补丁带来的相关影响非常多。在五个升级补丁中,有三个是关于IE浏览器和Windows操作系统的,这三个补丁格外重要一些,因为不熟悉电脑的用户极有可能会因为这三个漏洞而受到攻击。虽然不太可能发生蠕虫大规模流行的现象,但是用户们还是很容易被诱骗去访问恶意网页。”
在IE浏览器补丁所修复的10个漏洞中,有8个会导致用户系统受到攻击后令攻击者获得系统的完全控制权。微软公司在其发布的MS06-013号安全公告中说,不管在什么情况下,攻击者都会利用一个恶意网址并诱骗用户去访问它,然后对用户系统发起攻击。
IE5和IE6都是使用相当普遍的流行浏览器软件,微软公司将这个针对IE5和IE6的补丁评定为严重级补丁。微软公司表示,在目前的所有版本的Windows操作系统中,所有版本的IE浏览器都是存在漏洞的。
微软公司在安全公告中提出警告:“攻击者如果成功利用这些漏洞发起攻击,就可以完全控制住被攻击的系统。我们建议用户们立即安装这个升级补丁。”那些开启了操作系统自动升级功能的Windows用户将自动安装这些补丁。
在星期二之前,由于网络上已经出现了利用这些漏洞发起攻击的事件,因此微软公司一直承受着必须尽快发布IE补丁的巨大压力。第三方公司甚至已经提供了一些临时补丁来对付CreateTextRange漏洞,专家们称恶意网站可能会利用这个漏洞将某些代码如间谍软件放到用户计算机中去。
据微软公司安全公告称,在这次修复的10个IE浏览器漏洞中,有3个漏洞在之前就已经被公开过。其中只有createTextRange这个漏洞被恶意攻击者利用了来发起攻击。
但是赛门铁克公司称有证据表明在微软公司发布补丁之前,这三个漏洞都已经被攻击者利用了来发起攻击。赛门铁克公司安全响应部主管OliverFriedrichs在声明中说,紧跟着可能还会发生更多的相关攻击事件。他说:“据赛门铁克公司发布的最新互联网安全威胁报告称,通常在安全补丁发布到开发出攻击代码之间的平均时间是六天。”
Windows系统中的漏洞
对Windows用户来说有些祸不单行的是,所有版本的Windows操作系统中的IE浏览器都存在问题,同时系统本身也出现了两个严重级的漏洞。网络攻击者同样可以利用这两个漏洞发起攻击进而获得系统的控制权。其中一个与具体的ActiveX控件有关,另一个则存在于WindowsExplorer文件管理器中。
在这些攻击事件中,攻击者都是利用了一个恶意网页来利用漏洞发起攻击的。而且,如果攻击者利用电子邮件来发送网页也可以利用其中的某些Windows漏洞和IE漏洞。
此外,OutlookExpress软件的用户还面临着另一个安全威胁,因为OutlookExpress这个电子邮件应用软件在处理Windows通迅录文件的方式上也存在问题。微软公司在MS06-016号安全公告中说,如果用户打开了一个特殊制作的通迅录文件,可能会导致执行恶意代码,然后攻击者就可以控制住用户的计算机系统。
微软公司称,这些Windows系统中的漏洞和OutlookExpress软件中的漏洞都是私人秘密报告给微软公司的,目前还没有发生利用这些漏洞发起攻击的事件。
微软公司发布的最后一个安全警告即MS06-017号公告涉及的用户数量最少,微软公司将它评定为中度级隐患。微软公司称,这个漏洞存在于FrontPage软件和SharePoint软件中,它可能会导致系统泄密。
此次发布的升级补丁文件除了修复了大量安全漏洞之外,还改变了IE浏览器处理ActiveX控件的方式。在此之前,微软公司与Eolas技术公司之间曾经为此展开了长期的专利纠纷,Eolas技术公司是加利福尼亚大学支持的一家初创公司。这个改动将影响到某些特定网站将如何显示在浏览器之中。
那些需要更多时间来适应ActiveX控件变化的用户可以从微软公司网站下载一个特殊的补丁文件,这个补丁文件可以在两个月内禁用ActiveX控件功能。微软公司表示,这个兼容性补丁是专为那些使用了自己开发出的带ActiveX控件的应用程序的商业客户而发布的。
当前位置:
