微軟上月“偷偷”發(fā)布秘密補(bǔ)丁修補(bǔ)三個(gè)嚴(yán)重漏洞

Win7之家（ m.airtaxifl.com）：微軟上月“偷偷”發(fā)布秘密補(bǔ)丁修補(bǔ)三個(gè)嚴(yán)重漏洞

軟媒編輯評(píng)論：

其實(shí)偷偷發(fā)補(bǔ)丁而不在公告里面說(shuō)明，微軟也是迫不得已，畢竟有些漏洞說(shuō)出來(lái)影響太大，會(huì)讓黑客們蜂涌而至，去攻擊那些沒(méi)來(lái)及打補(bǔ)丁的系統(tǒng)。安全專家更多的是應(yīng)該提醒微軟這些公司，而不應(yīng)該把漏洞公之于眾。

看看這位專家的發(fā)現(xiàn)吧——

一位安全專家本周四稱，微軟上個(gè)月悄悄地修復(fù)了三個(gè)安全漏洞，其中有兩個(gè)安全漏洞影響到企業(yè)執(zhí)行重要任務(wù)的Exchange郵件服務(wù)器。微軟在安全公告中沒(méi)有說(shuō)明這些安全漏洞。

微軟沒(méi)有宣布的三個(gè)安全漏洞之中的兩個(gè)安全漏洞和這三個(gè)安全漏洞中的一個(gè)最嚴(yán)重的安全漏洞被打包在了MS10-024安全補(bǔ)丁中。這是微軟在4月13日發(fā)布的Exchange和Windows SMTP服務(wù)的一個(gè)更新并且標(biāo)記為“重要”等級(jí)。這位微軟排在第二位的威脅等級(jí)。

據(jù)Core安全技術(shù)公司首席技術(shù)官Ivan Arce說(shuō)，微軟修復(fù)了這些安全漏洞，但是，沒(méi)有披露它修復(fù)了這些安全漏洞的消息。這些安全漏洞比微軟披露的安全漏洞更加嚴(yán)重。這意味著系統(tǒng)管理員也許會(huì)對(duì)使用補(bǔ)丁的決策做出錯(cuò)誤的決定。他們需要這個(gè)信息來(lái)評(píng)估這個(gè)風(fēng)險(xiǎn)。

Core實(shí)驗(yàn)室研究人員Nicolas Economou在深入研究微軟發(fā)布的安全更新的時(shí)候發(fā)現(xiàn)了這兩個(gè)沒(méi)有宣布的安全漏洞。

Core對(duì)于研究人員Economou的這個(gè)發(fā)現(xiàn)發(fā)表了自己的安全公告。這個(gè)安全公告稱，攻擊者能夠利用微軟MS10-24補(bǔ)丁修復(fù)的這兩個(gè)沒(méi)有公開(kāi)的安全漏洞假冒對(duì)于Windows SMTP服務(wù)發(fā)送的任何DNS查詢的回應(yīng)。除了MS-024補(bǔ)丁原來(lái)說(shuō)明的拒絕服務(wù)攻擊和信息泄露等影響之外，DNS回應(yīng)欺騙和緩存染毒攻擊還能產(chǎn)生其它各種安全影響。

nCircle Security安全運(yùn)營(yíng)經(jīng)理Andrew Storms說(shuō)，秘密補(bǔ)丁既不是新鮮事也不少見(jiàn)。多年以來(lái)一直存在這種事情。這種事情本地也不是一個(gè)巨大的陰謀。

不同尋常的是Core把微軟悄悄地修復(fù)安全漏洞的事情公開(kāi)了。Core稱，微軟錯(cuò)誤地說(shuō)明和低估了MS10-24安全漏洞的嚴(yán)重性。Core敦促企業(yè)IT管理員考慮重新評(píng)估優(yōu)先使用補(bǔ)丁的事情。

Core發(fā)現(xiàn)的第三個(gè)沒(méi)有說(shuō)明的安全漏洞是在微軟4月13日發(fā)布的MS10-028 補(bǔ)丁中。這個(gè)補(bǔ)丁修復(fù)了微軟項(xiàng)目圖表軟件Visio中的安全漏洞。

微軟承認(rèn)它在沒(méi)有告訴用戶的情況下修復(fù)了一些安全漏洞。但是，微軟為這種做法進(jìn)行了辯護(hù)。微軟安全計(jì)劃經(jīng)理Jerry Bryant說(shuō)，這樣做有助于減少用戶使用安全補(bǔ)丁的數(shù)量，因?yàn)楦�新�?huì)中斷用戶的軟件環(huán)境。