微軟修補程式再掀波瀾

微軟在10月發布例行性的安全通報並發表修補程式後風波不斷，包括修補程式出現臭蟲（Bug）以及修補程式說明不夠清楚讓使用者安裝了錯誤的版本等，近日更有資訊安全研究機構把微軟在今年4月發表的修補程式撻伐一番。

資訊安全研究機構Argeniss Information Security執行長Cesar Cerrudo發表了一份報告，文中鉅細靡遺闡述並指責微軟並未真正修補該公司今年4月所發布的安全通報中的「MS05-018」。

「MS05-018」主要是發布存在Windows 2000、Windows XP及Windows Server 2003的4個漏洞，而Cesar Cerrudo則是針對其中的Client Server Runtime System（CSRSS）的漏洞，該漏洞被列為「重要」等級－－微軟安全分級中屬第二重大的。原因是駭客必須進入區域網路才能進行攻擊，Cesar Cerrudo說微軟並未真正修補該漏洞。

Cesar Cerrudo指出，問題出在微軟並沒有修補那個漏洞功能，而是在呼叫那個有漏洞的功能前加上一些確認碼，同時微軟也忽略了有很多途徑可以使用那個有漏洞的功能，但確認碼只存在一個路徑中。

Cesar Cerrudo是採用一般安全研究人員及駭客都會使用的「逆向工程」（reverse-engineered ）手法以建立該漏洞的攻擊程式，才發現這個仍然存在的漏洞。Cesar Cerrudo說微軟並未進行適當的研究在所有可造成攻擊的路徑上進行確認。

事實上，在微軟今年10月發布的「MS05-049」安全通報也是針對另一個CSRSS漏洞，但Cesar Cerrudo表示微軟應該先把上一個CSRSS漏洞修好才是。

Cesar Cerrudo認為微軟應該調整提供修補程式的程序以避免類似的事情再度發生。

微軟也針對此事發出聲明稿，微軟並未駁斥或同意Cesar Cerrudo的指控。微軟發言人指出，在4月發布的「MS05-018」及10月發布的「MS05-049」安全通報都是針對CSRSS的漏洞所提出，「MS05-049」修補了在「MS05-018」中未修補的一個新漏洞，而「MS05-018」所協助修補的漏洞都在該通報說明中，並未涵蓋這個由Cesar Cerrudo舉出的漏洞。

微軟發言人也表示微軟持續鼓勵用戶下載安裝「MS05-018」及「MS05-049」這兩個修補程式。編譯／陳曉莉