新浪科技讯 北京时间12月2日消息,微软在正常的安全更新周期之外发布了一个紧急补丁,修正了IE 6.0及更高版本的浏览器中存在的一个安全漏洞。根据微软公布的专家建议,通过这一IE浏览器漏洞,入侵者可以远程执行代码。不过如果用户的Windows XP操作系统中安装了Service Pack2,则不存在此IE漏洞。
这一IE漏洞于今年11月初正式公布,不过用户并不能从微软的专家建议网页中获得最
新补丁。按照专家建议中的说法,这一编号为MS04-040的最新补丁用于取代先前发布的MS04-038,但最新补丁中并不包含MS04-038推出之后发布的补丁。因此从微软或其它服务商那里获得系统补丁的用户需要参照微软知识库中编号为889669的文章,并且按照上面给出的指令去做。
根据微软之前发布的公告,当IE处理"frame"和"iframe" 两个HTML标记时,会造成缓冲区溢出。利用这一漏洞,黑客有可能在用户系统上执行任意代码。用户可能经由受感染的IE浏览器,或依赖于浏览器ActiveX控件的HTML邮件系统,如Outlook,Outlook Express,AOL以及Lotus Notes,访问到恶意页面。
不过,如果用户使用的操作系统为Windows XP SP2或Windows Server 2003,则并不需要担心这一漏洞所带来的威胁。同样,如果用户使用的IE浏览器为5.x版本,也不存在这一漏洞。微软此次发布的最新补丁适用于Windows XP、Windows 2000、Widows NT 4.0、Windows ME以及Windows 98等操作系统平台。
在微软的这一IE漏洞公布后不久,黑客们开始利用网络公司被攻破的广告服务器向用户发起攻击。同一天,微软还对Windows安全更新做出一定调整,涉及到此前发布的三个安全补丁。微软发现在今年10月公布的例行安全更新中,Windows XP SP1用户没有获得相应的补丁程序。微软表示,之所以产生这种情况主要是因为Windows XP SP1所需的安全补丁已经包含在SP2中,该公司希望还没有安装SP2的Windows XP用户尽快升级到SP2。尽管如此,微软仍然决定将10月份的安全更新面向Windows XP SP1用户开放,以尽量保证系统的安全。(小帆)
版权所有 新浪网