安全業者指出,微軟在今年8月8日的每月例行性更新所發表的MS06-042安全通報出現了安全漏洞。
先是更新該修補程式的使用者發現造訪某些網站時會讓IE當掉,隨後資安業者eEye Digital則警告這個讓IE當掉的漏洞可能導致一個高風險的緩衝區溢位,而讓駭客可以執行任意程式。
eEye駭客長Marc Maiffret指出,在經過調查後,發現這的確是一個安全漏洞,可能會引發駭客攻擊,而非僅讓IE當掉。eEye並且警告使用者要儘快採取妥善措施。
事實上,微軟在得知MS06-042安全通報出現問題時,就在8月11日推出僅針對該IE漏洞的單一更新程式,並透過微軟的產品支援服務(Product Support Services)提供該項更新,並指出這個問題只發生在那些使用HTTP 1.1通訊協定及壓縮的網站上。
同時,微軟也打算要破例重新發布MS06-042安全通報,讓所有的視窗用戶都能夠透過自動更新服務取得最新程式碼。原本微軟預計在本周二(8/22)發表新的MS06-042更新,不過迄今尚未推出。
eEye抨擊微軟並未告知使用者該漏洞除了會讓IE當掉之外,也能導致駭客的攻擊。eEye還建議企業IT管理人員必須了解實際的威脅性,不要因微軟的誤導而以為這只是一個小臭蟲。
Marc Maiffret說此一漏洞會影響使用IE6 SP1的Windows 2000及Windows XP SP1等已經採用MS06-042更新等作業系統,並建議使用者昇級到Windows XP SP2或關閉IE中的HTTP 1.1功能以避免受到該漏洞影響。
Marc Maiffret指出,許多安全研究人員及漏洞開發人員都已知道此一漏洞,更顯示出該漏洞的危險性。此外,eEye的研究人員也開發出該漏洞的概念性驗證程式,不過該公司並不確定是否有相關的概念性驗證程式已被公開。
在eEye公布此項安全公告後,微軟指責該公司不應在微軟尚未提供完全的修補時就將漏洞公開,不過,eEye指出該公司並未公開任何漏洞細節,反之微軟的安全建議中還提及了該漏洞是與過長的URL有關,Marc Maiffret反擊微軟才是那個提供最多漏洞細節的業者。(編譯/陳曉莉)
熱門新聞
2026-01-16
2026-01-19
2026-01-16
2026-01-19
2026-01-18