微软周二补丁 暂不修复IE浏览器新漏洞

　　据国外媒体报道，微软官方表示，微软将于本月的9日周二例行补丁发布，此次发布的安全补丁主要针对26个安全漏洞，共计13个安全补丁，对于本月在黑帽DC大会公布的IE浏览器远程读取文件漏洞并未在此次的安全补丁范围之内。这一最新的IE漏洞影响到所有的IE版本，包含目前市场上最流行的IE6\IE7以及IE8浏览器。该漏洞是阿根廷的一位安全咨询师Jorge Luis Alvarez Medina发现的，他在大会上自己还演示以及详细说明了这种攻击的方法。虽然针对该漏洞的安全补丁微软还没有给出确切的发布时间，但微软则告诫担忧这种类型攻击的任何人，最好是在“保护模式”下启动IE浏览器。
　　网络漏洞管理公司Rapid7高级主管谢尔顿-马尔默（Sheldon Malm）表示，这是4年来微软公司在2月份发布安全补丁数量最多的一次。
　　下周发布的13个安全补丁包括5个最高安全级别的关键级，另外有7个为重要级。这些安全补丁涉及Windows 2000、XP、Vista ，Windows 7，以及Server 2003和2008、Office XP、Office 2003和Office 2004 for Mac。
　　马尔默指出，包括Vista和Windows 7在内的所有微软操作系统都将得到修复。“其中一些安全漏洞还是在爆出的”。
　　微软公司周三在一份安全公告中指出，微软正在调查媒体本月初曝光的IE浏览器安全漏洞，下周发布的13个安全补丁将不包括此安全漏洞。

　　受此漏洞影响的IE版本包括：Windows 2000 SP4上的IE 5.01 SP4;Windows 2000 SP4上的IE6 SP1;Windows XP SP2/SP3、Windows Server 2003 SP2上的IE6/IE7/IE8。

　　微软公司在安全公告中表示：“我们的调查发现，如果用户使用的IE浏览器没有运行保护模式，攻击者可以访问已知文件名和地址的文件。”
　　根据Medina的攻击演示，目前可以触发这种攻击的方法并不多见，因为它多少有些复杂，你必须“将所有这些功能综合到一起才能构建出攻击的工具来，”为了利用IE浏览器的漏洞，攻击者必须诱使用户点击URL或访问恶意网站。攻击者可以利用该漏洞阅读用户系统中的文件，但无法随意运行恶意代码。IE的其他工作区还包括设置“IE网络协议防范”，将互联网和互联网区域的安全级别设置为“高”，在互联网和互联网区域上禁用Active Scripting的用户设置。

　　他还指出，IE的一个漏洞“在访问相同资源时，其表现是不一致的。”Medina所揭示的这个漏洞基本上涉及的是“把一连串的漏洞都串在了一起。”他说他曾和微软的安全团队做过对话，到目前为止，他得到的印象是说微软认为这个漏洞不是仅靠修复就能解决的，因为该漏洞实际上多半属于浏览器基础设计的问题。