微软可能对IE7的Bug进行修正

　　本周人们还没有找到修正“协议处理”漏洞的修正程序，微软仍在进行调查。

　　尽管本周微软修正了IE中的4个Bug，但是他们没有解决协议处理问题。该漏洞会诱使用户下载恶意软件，而微软的这种举措让不少安全研究人员大吃一惊。但是微软称，他们已经重新开始调查该漏洞，并且之后会提供相关补丁。

　　“昨天我本来打算讨论补丁的事情”nCircle 网络安全公司的安全操作总监Andrew Storms说。“我希望微软能够收回其之前立场，改正这些漏洞。”

　　Storms指的是微软在7月份时所持的态度——Windows和IE不应当因协议处理漏洞而受到众多研究人员的谴责。本周，当Heiese安全公司的Juergen Schmidt表示，IE7将不正确的统一资源定位器传递给了XP系统（只要用户点击链接，攻击者就可以利用该Bug来启动恶意代码或者脚本），研究人员们又开始继续谴责微软了。

　　Schmidt问微软是否准备给IE7打补丁，而他得到的答复与夏天时该公司的论调一致：“经过彻底调查之后，微软发现这不是微软产品的漏洞。”

　　包括nCircle的Storms在内的诸研究人员都不同意这个说法。“我仍然认为微软应当做点什么，”他说。“每个应用都应当确保自己本身是安全的。”

　　事实上，微软可能正在重新考虑这个问题。当Computerworld问微软对Schmidt的声明的看法的时候，微软有关人员表示他们已经重新展开调查。一位发言人表示：“微软发现，Windows在处理从其他应用传递来的URL的方法时，可能存在的潜在问题。微软正在继续调查该问题。一旦我们完成调查，我们就会采取适当的策略保护消费者。这些措施包括给用户提供更新或者提供额外指导。”

　　之前，微软已经数次表示他们的工程师已经确认该漏洞是第三方应用的问题，因此不是他们的责任。

　　更复杂的是，丹麦漏洞跟踪机构Secunia的首席技术执行官Thomas Kristensen说，本周初，他发现Outlook Express 6和Outlook2000中的协议处理漏洞，并已经将其汇报给了微软。如果用户上当受骗点击了Vcards（交换联络信息的电子名片）中的伪造链接，攻击者就可以利用这些漏洞。微软给Outlook Express6打了补丁，但是修正程序却是修正另一个Bug的。

　　“微软受到了自身设计局限的影响，”Kristensen在一封邮件中写道。“我们希望微软能够采取正确的途径，并为Windows和IE7开发通用修正程序，而不是给他们自己的应用打补丁，然后让所有其他的第三方也这么做。”

　　其他安全研究人员认为情况并没有这么乐观，他们不认为微软的态度会来个180度大转弯。“我认为他们仍然相信那是其他人的问题，但是如果足够多的人对他们施加压力，他们将会修正一些。”Exploit Prevention实验室的首席技术执行官Roger Thompson在就微软最新回应发表看法时说。

　　Thompson也不是很关心责任归属的问题。“目前我们并没有看到有人在真正利用该漏洞。这就是整个问题之所在，真正有说服力的是，攻击者利用了什么，而不是可能利用什么。”