微软公司在推出IE 7两周内,第二次与一家安全公司就IE7中的漏洞是否是一个真正的安全漏洞发生争执。
【IT168 业界新闻】微软公司在推出IE 7两周内,第二次与一家安全公司就IE7中的漏洞是否是一个真正的安全漏洞发生争执。
本周早些时候,丹麦安全公司Secunia指出IE 7中存在一个缺陷,当用户登陆网上银行或信用卡帐户时,身份窃取者可以利用它获取用户密码。Secunia公司指出,该漏洞早在两年前就开始在IE 6中出现,但微软公司并未对其进行修复。
本周一,微软公司否认这是一个安全漏洞。“我们在2004年对此类问题进行过彻底地调查,发现这会导致用户受到网上欺骗的侵害,用户不需要确认网页的地址,也不用确认SSL连接,就要相信网页的真实性,”微软公司安全反应中心的安全项目经理Christopher Budd在团队的博客上写到。
Budd继续说,换句话说,发生这一情况前提就是,你故意不使用那些专门用来防止出现网上欺骗行为的安全工具。因为这个原因,我们在2004年就表示,这个问题不像我们所定义的那样属于一个安全漏洞。
Secunia的技术总监Thomas Kristensen提出异议。他指出,虽然容易出现网上欺骗事实上影响了网页的浏览,但只有微软公司的IE浏览器没有对其进行修复。比如Firefox,在1.0.1版本中发现第一个安全漏洞后的两个月进行了修复,Opera也是如此。苹果公司的Safari在发现漏洞后的一个月进行了修复。
2004年12月,IE 6发现用户容易受到网上欺骗后,用户被建议屏蔽浏览器安全设置中的“Navigate sub-frames across different domains” 选项。
“现在IE 7默认该设置被置为屏蔽,这是一件好事,但是没有效果,这很糟糕!”Kristensen在一封发给TechWeb的EMAIL中写到。
Kristensen在Secunia网站的博客中也对其进行了批评。“虽然事实摆在面前,他们想利用默认屏蔽"Navigate sub-frames across different domains" 选项来保护用户,但现在他们还说这不是安全漏洞。”
“微软公司应该对浏览器中出现的缺陷和安全漏洞负责,以确保用户免遭到网上欺骗及类似攻击,”Kristensen继续指出,“难道这就是微软在广告中所说的IE 7要比上一个版本优秀吗?”
Secunia和微软公司在两周前就发生过类似的争执。微软发布IE 7正式版后,Secunia在数小时之内就发现了其中隐藏的一个安全漏洞。微软做出回应,说这一安全漏洞不存在IE 7中,而属于Windows XP 绑定的免费邮件收发软件Outlook Express中的问题。