微软将修补“download warning”漏洞

　　文/NinJai

　　根据CNET News的报道，微软公司将采取“适当的行动”来修补包含于Internet Explorer和Windows XP SP2中允许非法站点绕过浏览器安全机制来下载有害程序的“download warning”漏洞。

　　该漏洞是11月15号最早被Finjan安全公司发现并报告的。当然微软公司称，Finjan公司的安全报告存在“误导或者不正确”的。本周一，法国一家K-otik站点发布了可以针对该

漏洞进行攻击的代码。

　　本周二，微软的一名发言人称，微软公司依然认为该漏洞纯粹是误导，因为“用户安全机制和用户界面必然会发生在任何而已代码被执行之前。”

　　当然，很多安全专家不同意微软公司的观点。

　　来自澳大利亚某安全公司的高级安全顾问Sean Richmond称，他同意微软公司所说的代码的执行需要用户交互，但是他同时指出，在IE和Windows XP SP2中这是对其安全特性的回避。

　　安全信息公司Secunnia在上周三曾经发布警告称，本周又发现IE存在3个新的漏洞。这一数字让过去两个月中所发现的IE漏洞达到了19个，其中包括了微软在10月份安全通告中已经修复完毕的8个漏洞。

　　Secunnia称，这3个最新的漏洞分别被两个不同的研究者发现。Secunia称其中的两个可以被一起使用，让恶意代码绕过微软Windows XP SP2中的安全机制，使XP不向用户发出有害程序存在的警告。 而另一个漏洞，根据安全公告说明，如果站点处理安全校验的手法不当，那么可信任网站的cookie会被覆盖，导致网页会话被恶意者控制。

　　Secunia公司将这几个漏洞的安全级别评价为“相对紧要”和“不关紧要”。

　　微软批评了Finjan和Secunnia等安全公司在没有在第一时间留给微软解决问题的机会，而是公布这个漏洞的作法。此外，微软还表示，如果客户需要，可以到它的软件安全网站查阅安全指导，家庭用户则可以连接到微软的安全站点对自己计算机进行保护。

　　微软公司还强调：“有关IE存在安全漏洞的报道是不负责的，微软担心这会让用户面临安全威胁。我们认为正确的作法是向软件制造商报告产品的问题，这会让所有用户都能受益。”

　　Richard Starnes，一个在信息安全领域有20年工作经验的专家则表示，希望看到微软公司在发布修补程序的时候能够更加积极主动。但他认为，在过去的20年里，软件开发的质量正在下降。

　　“20年前的商业软件厂商不会让软件还在‘beta’期间就将其发布”，Richard Starnes评论道。