微軟上月“偷偷”發(fā)布秘密補丁修補三個嚴重漏洞

Win7之家（ www.airtaxifl.com）：微軟上月“偷偷”發(fā)布秘密補丁修補三個嚴重漏洞

軟媒編輯評論：

其實偷偷發(fā)補丁而不在公告里面說明，微軟也是迫不得已，畢竟有些漏洞說出來影響太大，會讓黑客們蜂涌而至，去攻擊那些沒來及打補丁的系統(tǒng)。安全專家更多的是應該提醒微軟這些公司，而不應該把漏洞公之于眾。

看看這位專家的發(fā)現(xiàn)吧——

一位安全專家本周四稱，微軟上個月悄悄地修復了三個安全漏洞，其中有兩個安全漏洞影響到企業(yè)執(zhí)行重要任務的Exchange郵件服務器。微軟在安全公告中沒有說明這些安全漏洞。

微軟沒有宣布的三個安全漏洞之中的兩個安全漏洞和這三個安全漏洞中的一個最嚴重的安全漏洞被打包在了MS10-024安全補丁中。這是微軟在4月13日發(fā)布的Exchange和Windows SMTP服務的一個更新并且標記為“重要”等級。這位微軟排在第二位的威脅等級。

據(jù)Core安全技術公司首席技術官Ivan Arce說，微軟修復了這些安全漏洞，但是，沒有披露它修復了這些安全漏洞的消息。這些安全漏洞比微軟披露的安全漏洞更加嚴重。這意味著系統(tǒng)管理員也許會對使用補丁的決策做出錯誤的決定。他們需要這個信息來評估這個風險。

Core實驗室研究人員Nicolas Economou在深入研究微軟發(fā)布的安全更新的時候發(fā)現(xiàn)了這兩個沒有宣布的安全漏洞。

Core對于研究人員Economou的這個發(fā)現(xiàn)發(fā)表了自己的安全公告。這個安全公告稱，攻擊者能夠利用微軟MS10-24補丁修復的這兩個沒有公開的安全漏洞假冒對于Windows SMTP服務發(fā)送的任何DNS查詢的回應。除了MS-024補丁原來說明的拒絕服務攻擊和信息泄露等影響之外，DNS回應欺騙和緩存染毒攻擊還能產(chǎn)生其它各種安全影響。

nCircle Security安全運營經(jīng)理Andrew Storms說，秘密補丁既不是新鮮事也不少見。多年以來一直存在這種事情。這種事情本地也不是一個巨大的陰謀。

不同尋常的是Core把微軟悄悄地修復安全漏洞的事情公開了。Core稱，微軟錯誤地說明和低估了MS10-24安全漏洞的嚴重性。Core敦促企業(yè)IT管理員考慮重新評估優(yōu)先使用補丁的事情。

Core發(fā)現(xiàn)的第三個沒有說明的安全漏洞是在微軟4月13日發(fā)布的MS10-028 補丁中。這個補丁修復了微軟項目圖表軟件Visio中的安全漏洞。

微軟承認它在沒有告訴用戶的情況下修復了一些安全漏洞。但是，微軟為這種做法進行了辯護。微軟安全計劃經(jīng)理Jerry Bryant說，這樣做有助于減少用戶使用安全補丁的數(shù)量，因為更新會中斷用戶的軟件環(huán)境。