IE漏洞遲遲不發修正檔 CERT發警告將微軟一軍

[psac]

4月9日消息，美國電腦應急反應小組(CERT)發佈了一個安全漏洞。這個安全漏洞到目前為止還沒有完全繞過，即使採取了保護性措施也能是給PC帶來危險。

這個安全漏洞可以讓攻擊者欺騙微軟IE瀏覽器中的ITS（資訊技術存儲）傳輸協定的控制程序從另外一個域名伺服器獲得指令碼，並且獲得同受害者本域機器相同的權限。

微軟預計在4月13日發佈本月的安全更新。微軟的發言人沒有立即說明本月的安全更新是否包含美國電腦應急反應小組提出警告的這個安全漏洞，也沒有說明去年8月份發佈的一個修正檔是否能夠解決這個問題。

這個最新安全威脅是這樣的：IE瀏覽器要參考封裝在使用ITS和MHTML傳輸協定的HTML文件中的不可訪問或者不存在的MIME（多用途的網路郵件擴充傳輸協定），當IE瀏覽器沒有找到CHM（編輯的HTML說明 ）文件時，ITS傳輸協定控制程序就會被欺騙去訪問另一個域名中的CHM文件。

如果那個CHM文件是由一個黑客精心製作的，這個文件就會包含能夠從另一個域名執行的指令碼，從而違反了交叉域名安全模式。美國電腦應急反應小組稱，使用精心製作的域名位址，攻擊者就可以訪問其他網站並且執行這些指令碼，從而竊取信用卡號碼或者造成一個網路癱瘓。

一般來說，在這個安全漏洞解決之前，使用Opera或者Netscape瀏覽器可以避免這個問題。但是，電腦應急反應小組稱，能夠啟動IE去控制ITS傳輸協定域名的瀏覽器也可能使用戶的電腦受到同樣的安全突破。這個安全漏洞影響任何使用「WebBrowser ActiveX」控件或者「IE HTML」描畫引擎的應用程式，例如微軟的「Outlook」和「Outlook Express」。

人們一般認為，在軟體廠商有機會修復安全漏洞之前公佈安全漏洞的做法是很壞的做法，因為，這會給黑客一個機會在修正檔發佈之前攻擊用戶。然而，美國電腦應急反應小組認為，他們這樣做是因為兩個原因，一個是這個安全漏洞早就存在了，另一個原因是微軟對於修復這個安全漏洞行動一直遲緩。

這個安全公告稱，「W32/Bugbear」、「BloodHound.Exploit.6」和「Ibiza」特洛伊木馬等病毒的變體全可以利用這個ITS傳輸協定控制程序安全漏洞。儘管沒有任何辦法阻止病毒作者修改程式碼繞過殺毒軟體，但是，採用最新的殺毒軟體可能還是安全的。

微軟在交叉域名安全漏洞方面一直行動遲緩，特別是對這個安全漏洞。微軟去年8月份曾對一個類似的安全漏洞發佈了一個修正檔。