安全廠商：微軟處理IE 7漏洞應更迅速

微軟終於決定將在今天（12/17）釋出緊急修補程式，以挽救IE 7漏洞帶來的災情。不過看在安全廠商眼裡則認為，微軟處理的腳步並不夠迅速。

針對微軟IE 7的零時差攻擊程式碼在12/9被中國的「知道安全」（KnownSec）網站研究團隊不慎將IE 7攻擊程式碼公佈於網路，雖然該團隊已道歉，但攻擊碼卻已在網路開始流傳，也讓IE 7漏洞威脅開始擴大。

不過微軟當時並未決定發佈緊急修補程式，在12月份的定期安全更新也來不及釋出修補程式，因此至今受感染的電腦數量不斷擴大。微軟則是到昨天才突然宣布要在今天發佈緊急更新，而台灣由於需要在地化的時程，因此可能還要等兩天。這看在安全專家眼裡則認為：微軟的處理步調應該更迅速。

McAfee技術經理沈志明就認為：「任何軟體都會有弱點，但是要有緊急應變措施，且越快越好。」一般來說，通常安全業者發現某產品有漏洞時，會先通知該廠商進行修補，之後才會公佈。不過這次由於是因為有人不慎將攻擊碼流傳到網路上，因此影響層面也更加嚴重。

趨勢科技資深技術顧問戴燊則指出，只要微軟未釋出修補程式，這漏洞就不會有徹底解決方案。雖然目前各家安全廠商的產品都已可阻擋攻擊中夾帶的惡意網址，微軟也公佈暫時解決方案（workarounds）讓用戶透過修改設定避免攻擊，不過都不是根本解決之道。唯有微軟將漏洞補起來，所有IE 7用戶才能放心使用。

以往微軟固定每月定期公佈安全更新，除此之外極少另發緊急更新。上一次是10月時的MS08-067，再上一次則已是一年半之前。台灣微軟表示，該公司緊急應變中心會針對個別狀況做判斷，以決定要發佈緊急更新或是留待每月一次的安全更新。

不過這次的IE 7漏洞威脅顯然出乎微軟意料之外，事實上微軟上週就已知道這個漏洞，但當時並沒有打算發佈緊急更新，不過演變至今威脅不斷擴大，才又在昨天宣佈釋出解決方案。