美国东部时间8月10日(北京时间8月11日)消息:微软公司在周二时曾经强烈建议计算机用户尽快安装IE浏览器补丁,然而微软公司在周三时又称这个补丁文件也有漏洞。
微软公司官员称,微软公司官方下载中心提供的几个IE升级补丁中有漏洞,用户无法安装它们。
IE开发小组的一位成员周二时在浏览器官方博客上称:“这些升级补丁有漏洞,破坏了微软公司的数字签名。”“我们已经发现了问题并移除了下载中心中有问题的升级补丁。”
受损的签名会导致系统管理服务器(Systems Management Server,SMS)和IE浏览器单独安装程序出错。系统管理服务器是一种给新软件和升级补丁分类的企业管理工具软件。
微软公司代表在周三时确认:“如果用户是在上午10点补丁刚刚发布的几个小时之内从下载中心下载的升级补丁,那么这项升级补丁是没办法安装的。”“微软公司得知这一情况后,立即移除了下载中心的升级补丁并开始调查问题的原因,然后重新发布了升级补丁。”
微软公司称,只有下载中心的升级补丁有问题,它也是个别安全公告栏的链接指向的地址。微软公司在周三时在MS05-038号公告中解释称:“自动更新、Windows更新、微软更新和Windows服务器更新服务(WSUS)都没有问题。”
这个小插曲让微软公司倍感难堪。软件漏洞管理商nCircle公司的研究主管Mike Murray说:“我从来没有见过这样的更新错误。”“我们曾经遇到过有些补丁被破坏或者无法工作的情况,但是象这次这样的情况还从来没见过。”
许多用户在微软公司博客网站上大发牢骚,让微软公司忙的够呛。Dominic
White就是其中的一位用户,他是一名在南非Rhodes大学学习计算机科学的大学生,曾经发表过几篇关于自动更新技术的论文和微软公司软件自动更新技术的专项论文。
White说:“让我困扰的是微软公司描述问题的方式。”“微软公司说这只会影响从下载中心下载了补丁文件的用户,但是实际上只有升级补丁被人为地破坏才会出现这种情况。”没有人会去想这是否是黑客所为,微软公司也不一定非要证明他们没有受到黑客攻击,这只是一个漏洞而已。
White说:“坦白地说,各种补丁文件实际上是散布恶意软件的保护伞。”“试想,如果你可以通过微软公司升级补丁来散布恶意软件,你可能就能够影响到数千台计算机并获得它们的管理员权限。数字签名给我们提供了一种知晓我们所下载的补丁是由谁发布以及有什么作用的方法,如果用户忽略了数字签名,那这个机制就没什么意义了。”
MS05-038公告称在8月份发布的IE补丁中发现了3个漏洞,其中有2个都是“严重”级的,这是微软公司最高的危险评定级数。这是微软公司连续第3个月发布IE补丁,它是在过去的5个月里进行的第4次IE修复,在过去的7个月里进行的第5次IE修复。
这次IE漏洞中最严重的一个是与浏览器处理JPEG图片文件的方式有关。JPEG文件格式是网站使用最广泛的文件格式之一。攻击者可以利用这个漏洞,比如在网站JPEG图片文件中加入恶意代码,然后将这个图片通过电子邮件发送到用户计算机上,用户很容易就会打开文件受到感染。
微软公司周二公布的其他漏洞包括一个新的交叉域名脚本漏洞和一个关于IE浏览器如何将非浏览器用的COM对象初始化的过程中的漏洞。第一个漏洞被微软公司评定为“中级危险”,第二个漏洞与JPEG图片漏洞一样,被评定为“严重危险”。
Symantec公司安全反应小组高级经理Oliver Friedrichs在周三时称,其中与用户关系最密切的是JPEG图片漏洞。Friedrichs说:“那是因为他们过去在浏览器中见到过类似的图片问题。”
“但是其他的两个IE漏洞就比较少见。当然,它们都给IE浏览器带来了很大的威胁。”
Friedrichs说MS05-038号公告是周二发布的六个公告中最引人注目的,因为它是关于Windows XP SP2的漏洞,而Windows XP SP2是微软公司最安全的Windows版本。Friedrichs说:“其他的严重漏洞都与Windows XP SP2无关,对大部分人来说,只要你用的是Windows XP SP2那就不会受到其他漏洞的影响。”
