微軟分別在今年8月與10月公布的MS05-038與MS05-052兩個針對IE瀏覽器的安全通報及修補程式,持續被抱怨導致某些網頁無法載入。
微軟安全部門程式開發經理Stephen Toulouse周四(11/3)在微軟安全反應中心(Microsoft Security Center Response;MSRC)的部落格中表示,MS05-038與MS05-052這兩個修正程式除了移除一些不安全的功能外,也因為安全因素改變了IE瀏覽器運作ActiveX controls的方式。
在安裝今年8月由微軟提供的MS05-038之後,瀏覽的網頁中若含有COM(Component Object Model)物件,該網頁就會被阻擋,無法觀看。
而MS05-052則是在IE瀏覽器允許COM物件下載之前,新增一個針對ActiveX controls特定介面的檢查,這個安全功能也會讓某些含有ActiveX controls的網頁無法執行。
對於修補程式帶來的問題,微軟說明,該公司正在執行「defense-in-depth」(縱深防禦)策略,以加強IE瀏覽器的安全性,但這使得部份用戶遭遇問題。
「defense-in-depth」本來是軍事用語,形容以空間爭取時間以延後敵人進一步攻擊的軍事策略,在資訊安全產業中延伸成為結合多種不同防禦機制以彌補個別安全機制的不足;而微軟在建立一個修補程式時,不僅修正某個已知的問題,還會對有漏洞的軟體做一些設計上的改進,以防類似原理的漏洞再出現。
不過有些新增的設計也使得部份網站及微軟的客戶遇到問題,Stephen Toulouse表示,這些設計都是為了安全考量,並強調受影響的僅有少數人。
微軟針對上述兩個安全通報修補程式所產生的問題已提供了更新程式供用戶下載。編譯/陳曉莉
熱門新聞
2026-01-10
2026-01-09
2026-01-09
2026-01-09
2026-01-09