微软发布重大安全警报 IE浏览器漏洞”很危险”

(http://www.epochtimes.com)

【大纪元6月14日讯】微软公司发布重大安全警报，提醒用户当心Internet Explorer浏览器的一个安全漏洞，该瑕疵可能让黑客利用一种过时的因特网协议自远程遥控他人的计算机。

ZDNet China 6月13日消息,新发现的瑕疵利用“小田鼠”(Gopher)信息系统，一种几乎已被淘汰的因特网协议，自远程计算机窃夺数据。Gopher以阶层式结构显示信息，有如小田鼠一直往下钻洞，故得其名。Gopher只支持文字环境，在支持超文字传输协议(HTTP)的全球信息网(WWW)盛行后，大致上已消声匿迹。

芬兰安全公司Online Solutions在5月20日发现IE这个弱点，并于上周提醒民众。

但这个威胁的严重程度超出Online Solutions当初的预料。此安全漏洞也存在于微软的服务器软件。微软认为，这对使用IE 5.01、5.5和6.0版的客户端计算机，以及使用Proxy Server 2.0或ISA Server 2000的因特网或内部网络服务器，都构成重大威胁。

在11日晚间贴出的服务布告栏上，微软指出，旧版的服务器软件可能容易让黑客乘虚而入，而旧版的IE也可能受害。微软并不提供这些旧版软件的修补程序。

微软布告栏指出，问题出在“处理Gopher服务器回传信息的程序代码中，含有未经检查的缓冲区”。

尽管Gopher已乏人使用，但IE仍然支持这种旧式协议。黑客可能利用缓冲区溢满的臭虫，使客户端计算机受制于执行恶意程序的服务器，进而掌控那部计算机，随心所欲存取数据、拷贝档案或安装程序。

这个漏洞的问题之所以特别严重，是因为IE使用者不必连结上一部Gopher服务器也可能受害，只要在网页或内含超文字标示语言(HTML)的电子邮件植入程序代码，就可能把使用者的计算机重新导向Gopher服务器。

就服务器方面，影响可能更严重，因为黑客能够完全控制受害的服务器，例如把硬盘重新格式化，或篡改管理员登入服务器的账号密码，然后佯装成合法的使用者，存取各种功能或网络服务。

现成的安全环境设定可以阻挠或减轻这种威胁。布告栏说：“如果安全政策禁止使用者删除档案或更改安全设定，则黑客的程序代码也无技可施。”

但即便是最严格的安全设定，也可能不足以防止黑客发动攻击。微软举例说，把Outlook电子邮件设定设成“限制区”(Restricted Zone)的使用者，仍可能经由HTML电子邮件而受影响。

微软尚未提供新安全漏洞的修补程序，但已提供临时的补救方法。其中一种让服务器排除问题的解决方案，是封闭TCP 70端口的通道，即可阻挡Gopher协议的数据存取。

IE的使用者则必须费一番工夫，用手动方式拦阻Gopher通路。可试者到工具(Tools)选单，选取“连结”(Connections)项下的“局域网络(LAN)设定”，然后让原先打勾的 “自动侦测设定”框框变成空白，改为勾选“LAN使用Proxy服务器”的框格。在“进阶选项”下，确定解除勾选“所有协议皆使用相同的proxy服务器”这个框格。最后到Gopher 文字字段，在连接端口设定方块中，输入“localhost”和“1”。

微软11日公布的安全布告栏中，提供更深入的指示。

最新通报的安全漏洞，只是为微软近来一长串的安全问题再添一笔，尽管董事长盖兹元月时已通令公司上下加强安全防护。

上周，微软才发布网络应用软件工具ASP.NET的安全警戒。其它最近已知的微软产品安全瑕疵还包括：影响IE处理cookie档案的问题、IE cross-scripting臭虫、让黑客闯入MSN Messenger及Windows Messenger的缓冲区溢满问题、MSN Messenger聊天功能可能遭黑客侵入等等。(http://www.dajiyuan.com)