微软上周就一个高危IE漏洞发出了警告,这个存在于Video ActiveX Control中的漏洞可导致远程代码攻击,目前微软还没有就该漏洞发布相关补丁,建议用户关闭IE中对ActiveX控件的支持,该漏洞目前仅攻击了Windows XP/Server 2003用户,而且针对IE6和IE7,IE8用户还没有受到任何影响。
上周末微软承认早在一年前就知道该漏洞的存在,微软安全服务中心(MSRC)主管Mike Reavey表示,公司在2008年春天收到ActiveX控件存在漏洞的报告,IBM ISS X-Force的两位工作人员Ryan Smith和Alex Wheeler在2007年发现了这个漏洞,虽然两人都拒绝透露何时就该漏洞进行的报告,不过其CVE(通用漏洞披露)号码显示为2008年初。
市场调研机构分析师John Pescatore认为,16至18个月的时间对于微软客户获得补丁来说实在是太长了,这个时间框架很难让人接受,对于微软这样的大企业,花费一年多的时间来修复一个漏洞让人不可思议,“很难想象是因为技术原因而拖延了18个月,也就是说一定有其他原因才导致这个问题迟迟不能解决”。
微软MSRC主管Mike Reavey解释称:“我们在接到报告后就立即展开了调查工作,当有人报告了一个漏洞后,我们要做的不只是调查这个漏洞,还有很多相关问题需要研究。”但是他也承认这次的时间段有些太长了。
报告该漏洞的人员之一Ryan Smith并没有因为没有立即发布补丁而批判微软,他说:“一直以来,他们都在告知我(开发补丁的)进度,在每次获得突破性进展时他们都会和我取得联系。”尽管如此,早些提供补丁总比迟迟进行开发强,“作为一个安全研究人员,你会希望在发现Bug的第二天就见到补丁。”
虽然微软本周二会发布6月份例行补丁,但是这其中并不包括修复IE视频ActiveX控件漏洞的补丁,建议Windows XP、Vista用户先手动关闭IE6、IE7中对ActiveX的支持。
