微软IE再次曝出新缺陷

IE浏览器一直都没有实质性的创新并且对待安全问题总是事后弥补。毫无疑问，我们还将在很长的一段时间内继续忍受IE浏览器的各种缺陷。

　　当所有人都在燃放焰火庆祝7月4日国庆日的时候，安全管理员们又被微软公司的IE浏览器的另一个漏洞弄得焦头烂额。微软公司在国庆日前一天发布了的最新IE浏览器安全建议书，建议书证实了SEC顾问研究公司发布的关于恶意用户如何利用IE浏览器中的一个漏洞令IE6.0意外退出的说法。

　　据建议书所述，在Windows XP SP1、SP2或者Windows 2000 SP1、SP3和SP4系统中运行IE 6.0浏览器的计算机都有可能被攻击，因为IE 6.0不能正确处理网页中非ActiveX COM对象的安装。这些计算机在载入带有某些内嵌CLSIDs 的HTML网页文件时，可能会引起零位指针失效或者内存失效等错误。研究人员还可以利用这个漏洞在IE中执行任意代码。具有讽刺意味的是，微软公司刚刚发布了一个IE浏览器“紧急”安全补丁来修复执行远程代码的漏洞，时隔不到两周微软公司就发布了这份建议书。

　　虽然微软公司发布了许多这种补丁文件和升级文件，但是IE浏览器一直就没有什么实质性的创新内容，对待安全问题也总是采取事后弥补的态度。然而，由于它在浏览器市场上占有强大的份额，而且许多网络开发商在优化其代码时都是针对IE浏览器的设置而进行的，因此我们还将在很长的一段时间内继续忍受IE浏览器中的各种缺陷。

　　各企业是否应该弃IE浏览器而转用Mozilla公司的火狐浏览器呢？不幸的是，这个问题还没有答案。对于小型商店或者个人用户而言，转用Mozilla公司火狐浏览器的客户还不是很多。某安全观察员称，如果浏览器没有与操作系统整合在一起，并且可以在没有ActiveX的情况下运行，那么这个浏览器就是一个附加品而已。但是在火狐浏览器中也发现了一些漏洞，而且随着火狐浏览器的日益流行还将发现更多的漏洞。尽管如此，火狐浏览器中的那些漏洞和IE浏览器中的漏洞比起来还只能说是小儿科，而且Mozilla公司与微软公司的做法不同，他们迅速公开了问题的所在并着手解决它们。如果我们看一下新闻就会发现，微软公司还没有针对最新的IE漏洞发布补丁文件，而只是建议用户在运行ActiveX控件之前将IE区域安全设置到“高”。

　　小型企业也许会转而使用火狐浏览器来减少麻烦，而大中型企业也许会发现火狐这款开源浏览器目前还没有完全准备好。首先，火狐浏览器没有管理系统，这就使得管理员很难控制浏览器的使用情况。而且，如果你的企业中应用了几个围绕IE建立的网络应用程序，那么转用火狐浏览器就意味着一笔再开发的成本支出，这还不包括在所有的客户端上安装它的成本。目前，几乎所有的大型企业可能都会坚持使用IE浏览器。

　　如果没有别的情况，最新版IE浏览器中的漏洞将是“没有任何软件是百分之百安全的”的最好证明。不仅对IE浏览器是如此，补丁管理对所有应用程序而言都是一个的首要问题。微软公司并非孤身与软件漏洞作战的软件生产商，苹果公司、Oracle公司和红帽公司只是许多著名公司之中的少数几个代表而已，它们都频繁地发布建议书、补丁文件和升级文件。作为客户，我们应该继续敦促生产商们将它们的产品做得尽可能的安全。作为用户，我们应该警惕我们所使用的任何软件中的漏洞。

　法国安全事件应急小组发布安全警告称，黑客可以利用最新IE漏洞创建一个恶意网站，当用户使用IE浏览器访问这一网站时，黑客就可以获得对目标主机控制权，或者在目标主机上安装恶意软件。法国安全事件应急小组对这一IE漏洞的评级为“高危”，高危漏洞往往是危害程度最高的漏洞。

　　目前利用最新IE漏洞的代码已经出现在互联网上，利用代码的出现为黑客发动攻击提供了便利，同时也使用户面临更大的风险。微软发言人表示，该公司正在就IE漏洞相关报告进行调查，但目前还没有发现利用这一漏洞进行安全攻击的事件出现。完成调查之后，微软将采取适当的措施保护用户的系统安全，其中包括发布安全更新。

　　互联网安全监控专家已经将最新IE漏洞的探测机制加入到自己的软件中。专家丹-哈伯德(Dan Hubbard)表示，到目前为止该专家还没有发现利用最新IE漏洞的恶意网站。最新IE漏洞同微软上周在例行安全更新中公布的一个漏洞类似，它存在于“Msdds.dll”模块中，属于可以导致远程代码执行的严重漏洞。

　　法国安全事件应急小组正在调查最新IE漏洞的适用范围。“Msdds.dll”通常包含在微软的Visual Studio开发工具中，但很多常用软件也会在用户的系统中安装这一文件。法国安全事件应急小组的一位代表本周三表示，带有IE 6浏览器的Windows XP SP2操作系统存在这一漏洞，即使安装了微软现有的所有安全补丁也不能幸免。仅仅一天之后，法国安全事件应急小组宣布，微软的Office 2002也会在用户系统上安装“Msdds.dll”文件。

　　SANS风暴中心也于本周四宣布，已经发现会在用户系统上安装“Msdds.dll”文件的应用程序包括微软.Net Framework 1.1、Office 2000、Office XP、Project和Visio。要避免受到黑客的攻击，IE用户只能避免访问非信任网站或是禁用IE中的ActiveX控件，当然用户还可以选择其它不支持ActiveX的浏览器，例如火狐浏览器。