美国计算机应急反应小组（CERT）发布了一个安全漏洞。这个安全漏洞到目前为止还没有完全绕过，即使采取了保护性措施也能是给PC带来危险。

　　这个安全漏洞可以让攻击者欺骗微软IE浏览器中的ITS（信息技术存储）协议的控制程序从另外一个域名服务器获得脚本，并且获得同受害者本域机器相同的权限。

　　微软预计在4月13日发布本月的安全更新。微软的发言人没有立即说明本月的安全更新是否包含美国计算机应急反应小组提出警告的这个安全漏洞，也没有说明去年8月份发布的一个补丁是否能够解决这个问题。

　　这个最新安全威胁是这样的：IE浏览器要参考封装在使用ITS和MHTML协议的HTML文件中的不可访问或者不存在的MIME（多用途的网络邮件扩充协议），当IE浏览器没有找到CHM（编辑的HTML帮助）文件时，ITS协议控制程序就会被欺骗去访问另一个域名中的CHM文件。

　　如果那个CHM文件是由一个黑客精心制作的，这个文件就会包含能够从另一个域名执行的脚本，从而违反了交叉域名安全模式。美国计算机应急反应小组称，使用精心制作的域名地址，攻击者就可以访问其他网站并且运行这些脚本，从而窃取信用卡号码或者造成一个网络瘫痪。

　　一般来说，在这个安全漏洞解决之前，使用Opera或者Netscape浏览器可以避免这个问题。但是，计算机应急反应小组称，能够启动IE去控制ITS协议域名的浏览器也可能使用户的计算机受到同样的安全突破。这个安全漏洞影响任何使用“WebBrowserActiveX”控件或者“IEHTML”描画引擎的应用程序，例如微软的“Outlook”和“OutlookExpress”。

　　人们一般认为，在软件厂商有机会修复安全漏洞之前公布安全漏洞的做法是很坏的做法，因为，这会给黑客一个机会在补丁发布之前攻击用户。然而，美国计算机应急反应小组认为，他们这样做是因为两个原因，一个是这个安全漏洞早就存在了，另一个原因是微软对于修复这个安全漏洞行动一直迟缓。

　　这个安全公告称，“W32/Bugbear”、“BloodHound.Exploit.6”和“Ibiza”特洛伊木马等病毒的变体全可以利用这个ITS协议控制程序安全漏洞。尽管没有任何办法阻止病毒作者修改代码绕过杀毒软件，但是，采用最新的杀毒软件可能还是安全的。

　　微软在交叉域名安全漏洞方面一直行动迟缓，特别是对这个安全漏洞。微软去年8月份曾对一个类似的安全漏洞发布了一个补丁。