安全廠商警告,微軟可能提前發佈一款IE修補軟體,修復正被用來攻擊Windows 系統的一個漏洞。
McAfee經理Monty IJzerman表示,展示駭客如何利用該漏洞控制PC的程式碼已經於上週四發佈到網路。在網上至少流傳著二種這樣的程式碼,其中一種已經被改造能夠用來攻擊系統。他表示,預計未來數天內還會出現新的攻擊。
在上週四發表的一份安全公告中,微軟表示將透過安全升級包修正該漏洞,但沒有披露會在何時發佈該升級包。
但微軟在上週五表示,它可能為發佈這款升級包而打破正常發佈週期。微軟安全回應中心的計畫經理Stephen Toulouse表示,「每當出現利用漏洞的惡意程式碼時,我們都會討論打破正常發佈週期的問題。」
這也是微軟在一週內遭遇的第三個漏洞。它與IE處理網頁中的"createTextRange ()"標誌有關,透過設計一個使用了特定程式碼的網頁,駭客就可以透過利用該漏洞控制存在漏洞的PC。
蒙蒂表示,McAfee已經發現一個網站正在利用這一IE漏洞向Windows PC下載惡意程式碼。McAfee已經對其安全軟體進行了升級,保護用戶避免受到這一攻擊的影響。Sunbelt 和Websense也發現了類似的攻擊。
儘管尚未發現利用該漏洞的攻擊,但賽門鐵克上週五表示它相信這類攻擊會出現。
微軟也為用戶提供了臨時性的解決方案。它在安全公告中指出,關閉IE瀏覽器中的活動腳本功能就能夠阻止這種攻擊。
據安全專家稱,這一漏洞影響安裝了所有升級包的Windows XP SP2+IE 6 和IE 7 Beta 2 Preview.但微軟在其安全公告中聲稱IE 7不會受到影響。
來源:
http://taiwan.cnet.co...ftware/0,2000064574,20105222,00.htm