日本微软12月2日公开了修补IE安全漏洞的补丁程序。此次的安全漏洞已由微软以外的安全产品开发商与组织对外公开,甚至已经出现了恶意使用这些漏洞的病毒。因此此次“紧急公开”了通常总是每月第2个星期二(美国当时时间)公开的安全信息与补丁程序。这是一些只需打开网页和HTML邮件即可遭受危害的非常危险的安全漏洞。 此次公开的安全漏洞早在10月24日前后就已经在与安全有关的邮件列表等场合公开了。此后,11月初由微软以外的安全产品开发商和美国US-CERT等组织发出了相关警告。 该安全漏洞的原因是IE不能合理地处理HTML中的特定标签。如果机器作为标签属性读取了一个长长的字符串,IE就会产生缓存溢出。由此就可能被迫执行该字符串包含的任意程序。 也就是说,只要在IE中浏览网页和HTML邮件,就可能执行病毒程序。是一个非常危险的安全漏洞。实际上11月8日前后就开始出现了攻击该安全漏洞的病毒和网页。 因此,大家普遍盼望着11月例行的安全信息公开日即美国当时时间11月9日,修补该漏洞的补丁程序能够公开,但最终却没有。因而此次没能等到12月的例行公开日(美国当地时间12月14日),就紧急公开了。自采取每月公开一次的做法以来,这已经是第三次“紧急公开”了,而且紧急公开的都是修补IE安全漏洞的补丁程序。 与以往的补丁程序一样,此次公开的补丁程序也能够通过Windows Update和微软安全信息页面安装。这是一种已经被攻击者恶意使用的安全漏洞。建议用户立即安装。补丁程序适用对象是在Windows NT Server 4.0 SP6a,Windows 2000 SP3/SP4,Windows XP SP1,Windows 98/98SE/Me操作系统上运行的IE 6 SP1。也就是说除Windows XP SP2/Server 2003以外都必须安装补丁程序。另外,此次公开的补丁程序是包括过去已经公开的全部IE补丁的“累积”补丁程序。 另外,微软从11月例行的安全信息开始采取了在3个营业日以前公布信息概要的做法,但此次的安全信息并没有事先通告。 追记:记者已向日本微软求证实,此次公开的补丁程序所修补的只是与FRAME和IFRAME有关的漏洞。其他的标签漏洞则无法修补。因此“即便安装了此次的补丁程序,也并不能修补目前发现的尚未公布补丁程序的全部IE安全漏洞”(日本微软公关部)。 不过,攻击补丁程序尚未公开的IE安全漏洞的病毒(蠕虫)几乎都是攻击FRAME和IFRAME有关的漏洞。只要安装了此次的补丁,就能防住全部此类病毒。“由于目前已经造成危害,因此就首先紧急公开了修补FRAME与IFRAME有关漏洞的补丁程序。对于用来修补尚未造成实际危害的其他漏洞的补丁程序,计划如期(每月例行的公开日)公开”(日本微软公关部)。Windows用户不要过分自信,而应当尽量安装此次的补丁程序。
| 
