扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
但仅仅24小时后,第一个安全漏洞就浮出水面——根据Secunia Advisory 22477的归类,这是一个IE7的漏洞,不过微软却认为,这个问题——Outlook Express中存在有一个漏洞,据称会影响许多浏览器,而不仅仅是IE7——绝对是被人为的夸大了。
不过,还不仅如此。一些兼容性方面的问题同样浮现了出来,尽管一些公司已经匆忙发布了相关补丁。
但是,我们从听说IE7到现在已经很久了,这些立刻出现的问题实在令人感到灰心——而且,相信这些问题的出现还只是个开始,而不是结束。在我们继续等待之时,让我们来更深入的的看看这个漏洞,并检查一下如何保护你的公司。
当微软在2005年3月开始发动SDL(安全开发生命周期,Security Development Lifecycle)时,它对IE7的Beta项目离令人期待的夏季发布仅有1月之遥。在2005年的年度RSA会议上,Bill Gates亲自说道:“我们的主要目标是为了所有客户提升安全性与保险性,无论他们是消费者还是何等规模的企业,通过一个对技术创新,指导,以及行业领导能力的平衡……我们正献身于继续创新以解决今天的威胁,以及那些毫无疑问会在未来出现的威胁。”
显然,这是一记响亮的耳光,但挨耳光的不是微软,而是它的客户和消费者们。自从IE4.0发布时提供了脚本支持(或ActiveX脚本)以来,关于漏洞的发现就一直持续不断——第一个漏洞于1999年5月被发现,由Bugtraq公布。自此之后的七年中,漏洞的发现不绝于耳。
现在,我们又一次面临着同样的问题:如果你在运行IE7,你的系统就是有漏洞的。我不想去争论这个漏洞到底是Outlook Express的,还是IE7的,因为如果你现在是在使用IE7,那你就身处风险之中(你可以在Secunia的网站上,为你所用的浏览器进行漏洞测试)。
为何这个漏洞会置你于风险之下?如果你是在浏览你的财务信息,或是在阅读你的电子邮件的话,然后你新开了一个窗口——这个功能是IE7中的一个主要亮点——浏览了一个潜在恶意网站,那么攻击者就有可能看到你刚才所看的那些财务或邮件信息——对安全而言,这该意味着什么呢?
解决这个漏洞的办法就是禁用Active脚本支持——一个该类型漏洞的公用“解决方案”。要想在IE7种禁用ActiveX,请执行下述步骤:
这个过程会同时禁用你的新浏览器的安全增强以及安全漏洞。
最后想法 经过整年的安全讨论和宣传之后,微软打算让那些没有听它花言巧语的人,以及那些使用它的软件的客户们成为它的牺牲品。我们中的绝大多数都明白,生活在一个时刻连通的世界里,安全与功能两者到底孰轻孰重。无论如何,当你设计和分发那些需要在狂野的Internet上使用的什么东西时,你应该首先留心保证它的安全性,其次才是它的功能性。
我对微软有两点想法:
1.不要让整个世界再来充当你的beta测试员。在一个新品发布之后,在24小时内就被人发现一个漏洞,根本没有安全性可言。
2.告诉那些在意安全的用户们,你们自己所信任的,用于在Internet上使用的浏览器到底是什么?
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者