> 近日,有安全专家向微软的客户发出警告,指微软的IE浏览器中的一个安全漏洞可能会引发新一波的病毒攻击。微软在数周前发布的补丁号称可以解决该漏洞,但实际上漏洞仍然存在!
据一家安全公司的调查显示,这个安全漏洞与之前被Nimda、Badtrans和Klez这些破坏性巨大的蠕虫病毒所利用的安全漏洞及其相似。
受这个“Object Data vulnerability”漏洞影响的IE版本包括5.01、5.5和6.0。IE在处理HTML页面时会使用到一个名为Object Data tag的特殊元件,攻击者可以利用此元件在你的电脑上放置一些恶意的代码。用户只要打开了包含有这种恶意代码的电子邮件或者网页,其计算机就会中招。
8月20日,微软为IE发布了一个MS03-032补丁,声称已解决了这个漏洞,同时还解决了IE的另外一些安全漏洞。(详情请查看http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-032.asp)
然而星期天,在一个著名的安全问题讨论组里出现了一个帖子称,即使是把微软的这个补丁打上,Object Data漏洞依然存在。这个帖子是以“http-equiv@excite.com”的名义发出的,并附有一个样本代码。这些代码显示:即使为IE打上补丁,当用户浏览包含类似JavaScript这些动态脚本的网页或邮件时,攻击者仍能利用该漏洞对其计算机进行攻击。
微软的一名发言人证实,他们正在跟进这个问题。但他同时表示,微软还是建议用户把这个补丁装上,因为到目前为止,尚未发现有人利用这一漏洞进行破坏活动。
然而,根据丹麦安全公司Secunia的调查,目前至少有一种利用这个漏洞写成的病毒正在互联网上悄悄传播。该病毒包含于电子邮件中,会悄悄运行drg.exe这一文件并将一个名为surferbar.dll的文件复制到受害人的电脑里。
对此,人们或许应诘问微软:你的补丁不补洞,那么其意义何在?
出处:PConline
Tags:
责任编辑:小黑游戏