不满微软行动迟缓 eEye抢先推出临时补丁

　　不满微软动作的迟缓，独立安全公司eEye推出了针对Windows中一个导致系统崩溃—重启－崩溃漏洞的临时补丁。但微软并不建议应用这些第三方补丁。

　　这个隐患由动画光标文件中的缓存溢出问题引起。早在2005年初就发现了一个类似的漏洞，但不会明显的影响Windows XP SP2。而这个由McAfee的Avert实验室发现的新问题就明显会威胁到XP SP2和Vista，还有Windows 2000 SP4和Windows Server 2003从最初版本到SP1的都不例外。

　　Avert实验室已经把这个事件的视频公布到YouTube上，视频演示了在Vista系统中测试的文件尝试加载定制的动画光标。当系统检测到崩溃后，它首先会保存关键的数据再进入重启阶段，这是Vista的新功能之一。接着系统告知用户，Windows Explorer已经崩溃。

　　eEye表示，它提供的临时补丁能够防止漏洞被利用，但并不能解决根本的问题。

　　微软方面，它在上周末表示已经启动了软件安全事故响应程序，并推出了相应的安全公告。微软表示，在邮件中嵌入恶意的动画光标会触发恶意攻击。

　　利用这个隐患的最有效方法是在HTML页面中嵌入.ANI文件。这样做就可以以最低限度的用户交互需求来发动攻击，攻击者只需欺骗用户点击某个超级连接并浏览相应的恶意网站就能发动攻击。由于微软的Office应用程序也依赖于相同的.ANI处理代码，所以带有Office格式附近的电子邮件也可能是一起潜在的威胁。

　　微软也承认Outlook Express的用户会受到影响，就算禁止了HTML邮件。而Outlook 2007的用户则安全的多，因为Windows Mail用户所在的是Vista系统，但前提是用户不要回复或转发这些恶意邮件。

eEye站点

　　eEye的补丁可以从其网站下载。微软还没有透露何时推出修复补丁。微软将在本月10号推出每月周二补丁，取决于问题的严重程度，微软可能会推出一个反周期的补丁。