据安全专家表示,由微软公司发布的一款修正其IE浏览器中一个危急安全缺陷的补丁软件不起作用。
IE浏览器中的“对象类型”缺陷是eEye数字安全公司于大约4个月前发现的,微软公司在8月20日发布了一款补丁软件,但由于在某些情况下会引发新的问题,微软公司于8月28日重新发布了这款补丁软件。eEye公司称,由于仍然不能修正认定的缺陷,微软公司可能需要重新发布这款补丁软件。
eEye公司的黑客事务总监迈弗雷特表示,由于很容易被利用,这一缺陷尤其危急。他说,由于非常简单,它不要求人们掌握编写利用缓冲区溢出缺陷的代码的技巧,因此是非常危险的。他说,微软公司应当一次就把工作做得更好,花了几个月的时间修复该缺陷,而没有真正修复了,这是不应该的。我认为,也许它非常重视安全,但没有投入必要的资源。迈弗雷特说,微软公司缺乏掌握相关技能的安全工程师是一个原因。
这一与安全缺陷相关的问题是由安全新闻网站Malware.com首先公布的,迈弗雷特不能肯定微软公司在此之前已经得到了通知。在安全补丁软件发布之前,迈弗雷特和他的团队审查了这一补丁软件,但没有发现任何问题。迈弗雷特表示,他们的审查是走马观花式的,而不是详细的审查。
用户可以禁用浏览器的活动脚本功能,减轻该缺陷带来的危险。 |
