微软承认它在08年初就知道IE的严重错误

分析师说,长时间间隔“不可接受”;工作区更新设置为周二

高级记者,《计算机世界》 |

微软(Microsoft)周四证实,它在一年多以前就知道ie浏览器大规模攻击背后存在一个漏洞,但针对批评人士说微软本应更快采取行动的说法,微软为自己的安全程序进行了辩护。

微软周四证实,它已经知道一个漏洞背后的广泛的IE (IE)攻击一年多,但为其安全程序辩护反对批评。

据微软安全响应中心(MSRC)的主管Mike Reavey说,该公司在2008年春初第一次得到ActiveX控制存在严重缺陷的消息。这个漏洞可以被利用IE6和IE7在Windows XP。2007年,两名研究人员瑞安·史密斯和亚历克斯·惠勒在IBM国际空间站X-Force工作时向微软报告了这个漏洞。史密斯现在是VeriSign iDefense的一名漏洞研究员,而惠勒则负责管理3Com的TippingPoint DVLabs。

尽管Smith和Wheeler都拒绝透露他们何时报告了漏洞,但漏洞的CVE(常见漏洞和暴露)数字指向了an2008年初报告日期

Gartner首席安全分析师佩斯卡托雷(John Pescatore)说,从2008年初到现在这16到18个月的时间太长了,微软的客户要想在没有补丁的情况下使用的话。“这是一个不可接受的时间框架,”佩斯卡托雷说。“对微软这样规模的公司来说,不会花一年的时间。

他说:“很难想出技术上的原因,为什么需要18个月的时间。这意味着,它必须是出于其他原因,商业原因、产品原因或优先级原因,”他表示。“但这必须是非常重要的。”

“我们在漏洞被报告给我们后就开始了调查,”Reavey反击道。“当一个漏洞被报告时,我们不仅会关注它,还会调查它周围的其他问题,以提供尽可能多的保护。”

然而,16到18个月的时间跨度肯定高于平均水平,Reavey同意。“时间表不是标准,”他说。“绝大多数漏洞都是在攻击发生之前就被修补的。”

那么,是什么花了这么长时间呢?

尽管Reavey今天拒绝透露具体情况,但报告了这个弱点的研究人员之一Smith暗示了原因。“这个缺陷的本质是独一无二的,”他说。“这种机制也很独特。正是这些独特的品质需要比微软通常需要更多的时间。”

史密斯拒绝批评微软没有早点打补丁。“一直以来,他们都在告诉我事情进展到了什么程度,”他谈到微软的安全团队时说。“他们每完成一个里程碑式的修复,就会给我打电话。”

尽管如此,他还是承认快速修补比缓慢修补好。“作为一名安全研究人员,你总是希望在报告错误的第二天就看到一个补丁,”Smith说。

事实上,微软还没有完成修复工作,Reavey承认。他说:“我们将在下周发布一款能够阻止所有已知攻击的软件。”他指的是7月14日周二微软推出每月一次的安全更新。但它不会是一个完整的补丁。

相反,下周的更新将设置45“杀死位”在Windows注册表,禁用ActiveX控制。周一,微软发布了一个免费工具,可以做同样的事情,但需要用户坐在每台电脑前,浏览到一个支持站点,下载工具,然后运行它。“这对企业来说是不现实的,”Gartner的佩斯卡托雷说。“这是一种‘高度接触’,当然不是宝洁公司(Procter and Gamble)所能做到的。”

Smith和Reavey都表示,微软之前确实考虑过发布"kill bit"更新作为一种保护措施。“他们做了,但他们想提供最好的补丁,”史密斯说。

Reavey给出了微软没有早些采取行动的相同原因。“我们总是想给客户一个完整的解决方案,”Reavey说,他指的是一个补丁,而不是将于下周发布的自动解决方案。“如果我们早些尝试做些什么,对客户来说就不会这么干净了。”

他还否认了微软在上个月就已经知道攻击的发生,就像其他人声称的那样。IBM的X-Force部门周一表示,早在6月11日就有攻击记录。

Reavey说:“我们是在发布报告的前一天才知道这些攻击的。”这意味着公司在7月5日就知道了这些攻击,距离IBM表示攻击已经开始已经有将近一个月了。“一旦我们看到了这些攻击,我们就会看一下(我们的工作)的现状,以及受到攻击的是什么,(然后)让事情进入快车道。”

在一个微软的博客今天,MSRC的一位发言人宣布了定于下周发布的安全更新,他说:“……我们的工程团队一直在夜以继日地工作,以做出更新。”

微软还否认漏洞细节在过去16-18个月的某个时间点泄露给黑客,可能是通过微软主动保护程序(MAPP),该程序为安全软件公司提供有关漏洞的早期信息。微软发言人今天说:“直到发布公告之前,微软才与MAPP合作伙伴分享了关于视频ActiveX控制漏洞的任何信息。”

黑客利用ActiveX漏洞让用户访问恶意网站,或在合法网站上植入驱动攻击代码。根据ScanSafe的数据,向IE6和IE7用户提供恶意软件的受攻击网站数量激增,达到数百万。

Reavey说,微软会在某个时候发布一个真正的补丁来解决这个问题。不过,他拒绝透露该补丁是否会在“周期外”发布,也就是正常的每月更新计划之外。

这个故事,“微软承认它知道关键的IE bug在08年初”最初是由《计算机世界》

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
相关:

高级记者Gregg Keizer为计算机世界报道Windows, Office, Apple/enterprise,网络浏览器和网络应用。

版权©2009Raybet2

工资调查:结果在