微軟12月安全補丁将修補上一IE零時攻擊漏洞

　　騰訊科(kē)技訊 北京時間12月4日(rì)消息，據國(guó)外媒體(tǐ)報道，微軟今日(rì)表示，它将在下周二發布6個安全補丁，其中包括一個可(kě)修複IE零時攻擊漏洞的補丁。微軟在上周才剛剛承認那個漏洞。

　　微軟在其安全響應中心博客上表示，此次安全升級将一共修複12個漏洞，涉及的産品包括Windows、IE和Office軟件(jiàn)套裝。

　　第一個安全補丁将對IE5.01、IE6、IE7和IE8進行升級，這個補丁的安全級别爲“嚴重”，也是微軟補丁評級系統中的最高等級。

　　微軟在11月23日(rì)發布的一份安全顧問(wèn)書(shū)中承認，IE中存在一個零時攻擊漏洞。這次的安全補丁将修複該漏洞。微軟安全響應中心發言人(rén)Jerry Bryant上周在宣布發布安全顧問(wèn)書(shū)的博客文章(zhāng)中表示：“我想指出的是，任何平台上的IE8均未受到該漏洞的影(yǐng)響，在Windows Vista系統中以安全模式運行IE7可(kě)以緩解這個問(wèn)題。”

　　微軟在相(xiàng)關概念驗證型攻擊代碼被公開後發布了安全顧問(wèn)書(shū)，那個攻擊代碼被發布給了流行的Bugtraq安全郵件(jiàn)列表中的用戶。黑(hēi)客可(kě)利用那個漏洞劫持安裝好全部補丁的Windows系統電腦。

　　然而，下周二的補丁将修複微軟目前仍支持的所有版本的IE浏覽器中的漏洞。微軟在周四已經确認了這一點。Bryant在另一篇博客文章(zhāng)中表示：“我們想讓客戶們知道，我們将在下周二修複IE公告闆中第977981号安全顧問(wèn)書(shū)中提到的安全漏洞。”

　　Bryant所說(shuō)的安全顧問(wèn)書(shū)就(jiù)是微軟上周剛剛發布的那份安全顧問(wèn)書(shū)。他(tā)說(shuō)：“我們知道客戶們很擔心這個問(wèn)題，我們也知道相(xiàng)關的概念驗證型攻擊代碼已經被公開了。”

　　微軟在安全顧問(wèn)書(shū)中指出了這個問(wèn)題的重要性，因爲運行在Windows 2000、XP、Vista、Server 2003甚至Windows 7中的所有版本的IE兩年(nián)前都(dōu)包含一個或更多漏洞。隻有微軟最新版的服務器産品Server 2008和Server 2008 R2要相(xiàng)對安全一點。

　　然而，nCircle Network Security的安全事(shì)務主管Andrew Storms表示，那并不意味着IE5.01和IE8突然就(jiù)會受到上周發布的零時攻擊代碼的攻擊。微軟承認這次準備發布的IE升級補丁将修複多個漏洞。對于微軟來(lái)說(shuō)，用一個補丁修複多個漏洞的情況是相(xiàng)當罕見(jiàn)的。

　　Storms在與微軟安全響應中心取得(de)聯系後表示：“上周的零時攻擊代碼不能攻擊IE8，這次還(hái)将修複其他(tā)一些漏洞。”

　　微軟此次打算發布的安全補丁涉及的産品還(hái)包括Windows、Office 2000、Office 2003、Microsoft Project 2000、2002以及2003。微軟這次準備發布的6個補丁中有3個是嚴重級的補丁，其餘3個是重要級的補丁。（編譯/林靖東）