近日，針對(duì)微軟承認(rèn)存在了三年的Jet數(shù)據(jù)庫引擎安全漏洞至今未做秀不，賽門鐵克的一位研究人員稱，微軟應(yīng)該幾年前就修復(fù)這些安全漏洞。

微軟安全研究中心運(yùn)營(yíng)經(jīng)理Mike Reavey本周一下午在微軟安全研究中心博客中發(fā)表的一篇文章中承認(rèn)，外部研究人員在2005年和2007年曾分別通知微軟在Jet數(shù)據(jù)庫引擎中存在安全漏洞。Jet數(shù)據(jù)庫引擎是Windows的一個(gè)組件，提供對(duì)微軟Access和Visual Basic等應(yīng)用程序的數(shù)據(jù)訪問。

在這上述兩個(gè)事件中，微軟告訴這些研究人員它不會(huì)修復(fù)這個(gè)安全漏洞，因?yàn)樗�考慮到了用戶的安全。Reavey解釋微軟的決定說，Outlook封鎖了.mdb文件，禁止打開這種文件。Exchange服務(wù)器從發(fā)進(jìn)來的電子郵件中剔除這種文件，當(dāng)人們點(diǎn)擊這種文件時(shí)，IE瀏覽器將發(fā)出警告。

然而，微軟沒有想到黑客現(xiàn)在使用的攻擊策略。Reavey說，由于黑客發(fā)現(xiàn)了這個(gè)攻擊向量，一切都發(fā)生了變化。這使攻擊者能夠通過打開一個(gè)微軟的Word文件裝載一個(gè)MDB文件。他說，微軟以前的安全指南不能防御這種新的攻擊。這是我們警告用戶防止這種攻擊并且重新調(diào)查Jet解析安全漏洞的原因。這是一種我們以前不知道的新的攻擊向量。

賽門鐵克研究人員上個(gè)星期發(fā)布了這個(gè)研究結(jié)果，促使微軟發(fā)布了一個(gè)安全公告，警告在Windows 2000、XP和Server 2003 SP1平臺(tái)上使用Word軟件的用戶采取防御措施。

一位安全研究人員稱，微軟要是早一些解決這個(gè)問題就會(huì)防止現(xiàn)在突然忙亂地修復(fù)漏洞的情況。

賽門鐵克安全反應(yīng)小組的一位經(jīng)理Oliver Friedrichs稱，我數(shù)不清微軟的產(chǎn)品以前出現(xiàn)過多少次這樣的事情了。微軟顯然應(yīng)該是對(duì)這種安全漏洞最擔(dān)心的。一直存在兩個(gè)安全漏洞，一個(gè)是在 2005年發(fā)現(xiàn)的，另一個(gè)是在2007年發(fā)現(xiàn)的。這兩個(gè)漏洞都沒有使用補(bǔ)丁。他說，這個(gè)問題引起了人們的擔(dān)心。

微軟安全研究中心仍在研究它如何修復(fù)這個(gè)安全漏洞，或者增加更多的障礙阻止目前已知的利用惡意的Word文件實(shí)施的攻擊。這個(gè)防御措施可能是設(shè)法阻止在不提示用戶的情況下裝載.mdb文件，或者在更新版本的Jet軟件中使用補(bǔ)丁。Windows Vista、Windows Server 2003 SP2和即將推出的Windows XP SP3都采用了使用補(bǔ)丁的Jet數(shù)據(jù)庫引擎。

標(biāo)簽： 安全 電子郵件 服務(wù)器 漏洞 數(shù)據(jù)庫

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。