微软12月安全补丁将修补上一IE零时攻击漏洞

　　腾讯科技讯 北京时间12月4日消息，据国外媒体报道，微软今日表示，它将在下周二发布6个安全补丁，其中包括一个可修复IE零时攻击漏洞的补丁。微软在上周才刚刚承认那个漏洞。

　　微软在其安全响应中心博客上表示，此次安全升级将一共修复12个漏洞，涉及的产品包括Windows、IE和Office软件套装。

　　第一个安全补丁将对IE5.01、IE6、IE7和IE8进行升级，这个补丁的安全级别为“严重”，也是微软补丁评级系统中的最高等级。

　　微软在11月23日发布的一份安全顾问书中承认，IE中存在一个零时攻击漏洞。这次的安全补丁将修复该漏洞。微软安全响应中心发言人Jerry Bryant上周在宣布发布安全顾问书的博客文章中表示：“我想指出的是，任何平台上的IE8均未受到该漏洞的影响，在Windows Vista系统中以安全模式运行IE7可以缓解这个问题。”

　　微软在相关概念验证型攻击代码被公开后发布了安全顾问书，那个攻击代码被发布给了流行的Bugtraq安全邮件列表中的用户。黑客可利用那个漏洞劫持安装好全部补丁的Windows系统电脑。

　　然而，下周二的补丁将修复微软目前仍支持的所有版本的IE浏览器中的漏洞。微软在周四已经确认了这一点。Bryant在另一篇博客文章中表示：“我们想让客户们知道，我们将在下周二修复IE公告板中第977981号安全顾问书中提到的安全漏洞。”

　　Bryant所说的安全顾问书就是微软上周刚刚发布的那份安全顾问书。他说：“我们知道客户们很担心这个问题，我们也知道相关的概念验证型攻击代码已经被公开了。”

　　微软在安全顾问书中指出了这个问题的重要性，因为运行在Windows 2000、XP、Vista、Server 2003甚至Windows 7中的所有版本的IE两年前都包含一个或更多漏洞。只有微软最新版的服务器产品Server 2008和Server 2008 R2要相对安全一点。

　　然而，nCircle Network Security的安全事务主管Andrew Storms表示，那并不意味着IE5.01和IE8突然就会受到上周发布的零时攻击代码的攻击。微软承认这次准备发布的IE升级补丁将修复多个漏洞。对于微软来说，用一个补丁修复多个漏洞的情况是相当罕见的。

　　Storms在与微软安全响应中心取得联系后表示：“上周的零时攻击代码不能攻击IE8，这次还将修复其他一些漏洞。”

　　微软此次打算发布的安全补丁涉及的产品还包括Windows、Office 2000、Office 2003、Microsoft Project 2000、2002以及2003。微软这次准备发布的6个补丁中有3个是严重级的补丁，其余3个是重要级的补丁。（编译/林靖东）