IE 7.0 Beta 2第一個漏洞現身

微軟發表最新瀏覽器IE 7.0 Beta 2版本才幾個小時，獨立安全研究人員Tom Ferris就發布了該瀏覽器的漏洞。

Tom Ferris說，他在安裝完IE 7.0 Beta 2並用Fuzzer軟體檢查該瀏覽器的潛在安全漏洞時，不到十五分鐘就發現了這個漏洞。F-Secure的防毒研究經理Mikko Hypponen指出，Tom Ferris可能締造了最快發現漏洞的紀錄。

Tom Ferris指出，這個漏洞存在於IE 7.0讀取特別的HTML檔案時，可能造成IE當掉，因為urlmon.dll無法適當地分析file://協定。他還確信，這個漏洞可能引發阻斷式服務攻擊（denial-of-service，DoS），最後可能被更改成能在使用者電腦中植入未經授權的程式。

微軟程式經理Tony Chor證實了這個漏洞會讓IE當掉，但初步研究並未發現可被執行任意程式。

Tony Chor說，微軟在進行程式碼檢查時就發現了這個漏洞，已被排除在修補名單內，同時，他們並不相信這個漏洞可輕易被駭客用來攻擊。

微軟並不重視這個只要重新開啟瀏覽器就會自動修復的阻斷式服務漏洞，但Tom Ferris認為，若認為這個漏洞不會進一步演變成更大的傷害，會相當危險的。因為過去曾經有過前例，原本以為只是一個DoS漏洞，但卻造成零時差攻擊。

雖然IE 7.0將是微軟新一代作業系統Windows Vista所使用的瀏覽器，但因Windows Vista尚未出爐，因此現階段微軟所發表的IE 7.0測試版都是支援Windows XP的，支援XP的IE 7.0正式版本預計在今年第二季出爐。（編譯/陳曉莉）