微软解释2001年发现的安全漏洞为何花七年才补好?
来源:CNET科技资讯网 发布日期:2008-11-25
CNET科技资讯网11月17日国际报道 微软有个已知的安全漏洞,费时七年才修补好,微软日前对此提供一个解释。
这个安全漏洞出现在微软服务器信息区块(Server Message Block;SMB)协定,一直到微软上周二发布安全更新程序MS08-068后才亡羊补牢。这个SMB协定漏洞可能造成SMB Relay攻击,让黑客自远端安装程序,浏览、更改或删除资料,或建立拥有完整使用者权限的新帐户。
微软安全反应中心安全程序经理Christopher Budd上周四在博客贴文解释说,尽管微软之前已得知这个安全漏洞,但若贸然修补可能破坏用户的网络应用程序。
Budd写道:这个问题最早在2001年被提出,我们当时的说法是,我们解决这个问题的同时,不能不考虑对网络应用程序可能造成的负面影响。明白说,这影响可能造成许多(或几乎所有)用户的网络应用程序无法操作。
他指出,2001年微软建议用户使用SMB签章,当时微软就明白这种作法可能不是有效的解决方式,用户会面临类似的限制,使使用SMB签章变得不可行。
根据Metasploit博客,这个安全漏洞最先是由安全研究员Sir Dystic在2001年举行的@tlanta.con大会中提出的。Metasploit也在今年稍早的攻击工具里,纳入SMB Relay模组。
Metasploit在上周二博客文章指出,微软发布的SMB补丁程序只有局部效用。
化名HD的作者说:MS08-068补丁程序解决的,只是黑客连接回受害者电脑的攻击情况,并不能解决黑客把连线转到第三方主机(third-party host),再引诱受害者访问该主机的情况。(Tom Espiner)
最新新闻图文导读:
- Firefox推Geode外挂程序 网站知道你置身何处(图)
科技资讯网月日国际报道一如预期,发布了称为的浏览器外挂程序,让网站约略得知使用者的所在地理位置,以便提供相关线上服务,但前提是必须征求使用者同意让软件访问哪个信息。根据在博客上贴出的公告,预览版将随面世,采用研发的技术,可依据邻近无线网络传出的信号推断电脑的所在位置。为展示这项技术,分享一种称为的应用软件,可显示使用者所在的大概位置以及附近的餐馆。小型博客网站也在测试这种技术,>>阅读全文 - 微软网站泄密 Windows Cloud就是Windows Strata?
科技资讯网月日国际报道上周,微软谈到该公司谣传中的云计算操作系统。但当时,他表示只是暂时的名称。一名眼尖的博客日前在微软的专业开发者大会网站上发现,一个名为的标题下,列出了几场云计算的小组研讨会。微软随后撤下了标题,但已经有好几个博客注意到这件事。微软网站泄密就是微软网站泄密就是在上周的发言中提到,微软甚至可能把云计算操作系统的正式名称申请商标。目前他暂时称作。在法国表示我们需>>阅读全文
