发送微软争先恐后昨天,正在被黑客现在攻击的Internet Explorer(IE)的用户可能已经将漏洞报告18个月以上。
在昨天发布的安全公告中,微软记一对研究人员 - 莱恩史密斯和亚历克斯·惠勒 - 与报告这个错误。史密斯和惠勒曾经在IBM的ISS X-Force的共同努力,虽然惠勒现在是在位于得克萨斯州3Com的TippingPoint的DVLabs的。
惠勒证实,他和史密斯发现的漏洞,但他给了大部分的功劳史密斯。然而惠勒下降,当错误报告给微软说。“我不觉得有关舒服的谈话,”他说,理由与他在当时签署的漏洞的非公开协议。相反,他转向问题,他的前雇主,ISS X-Force的。
“但我们在TippingPoint之前就开始着手了,”惠勒承认。惠勒是DVLabs的经理,2008年1月开始在TippingPoint工作。
在CVE(通用漏洞披露)的漏洞数量 -CVE-2008-0015- 指向一个可能的2008年年初的报告日期。根据数据库的CVE编号是保留在2007年12月13日。
ISS X-Force的今天不是马上能确认该漏洞报告日期,但保安公司确实注意到其自己的咨询,周一还公布,黑客已经利用至少自2009年6月9日,近一个月前的bug。
事实上,X-Force的上市两个独立的漏洞在安全公告,称该缺陷微软视频控制器的ActiveX库,或“msvidctl.dll”文件,不仅包含归因于史密斯和惠勒缓冲区溢出漏洞,还藏着一个内存破坏漏洞,通过X-Force的研究人员罗伯特·弗里曼发现。
微软并没有当它被告知该漏洞的有关问题作出答复,如果是2007年或2008年年底,它为什么没有打补丁的问题。
没有当它被报道此事,错误是严重的,惠勒今天说。“这种特定的漏洞比较容易在一个可靠的方式来开发,如果是有道理的,”他说。“虽然它确实需要建立恶意主机服务器来提供开发...你必须去已经被破坏的[恶意]网页。”
攻击代码还没有被广泛公布,惠勒补充,但它不会很难为其他黑客复制什么已经在野外。“这将是相对简单的做到这一点,”他说,“相比,他们有从此刻选择什么。”
昨天,微软不仅确认正在进行攻击针对IE6和IE7用户在运行Windows XP,但也提供了一个自动化的工具,45套不同的“kill bit的” ActiveX控件,有效地禁用它,并呈现攻击没有实际意义。
但是,惠勒提出了另一个选项:切换浏览器。“除非他们专门配置的,其他浏览器将面临大幅降低的风险,”惠勒说。浏览器如Mozilla的火狐,谷歌Chrome和苹果的Safari浏览器不依靠ActiveX技术来驱动的加载项一样,IE浏览器。
“任何客户端漏洞是严重的,”惠勒说,“但该范围的,这个人是在更严重的范围内。”
微软已经承诺修补Windows和/或IE浏览器,但没有承诺交货日期。其下一个定期调度的安全更新将每周公布从今天开始,7月14日。
这个故事,“微软可能已经知道关键IE漏洞几个月”最初发表计算机世界 。