xqe - 2005-7-7 13:09:00
美国当地时间7月6日(北京时间7月7日)消息,据国外媒体报道,针对IE浏览器上的一个安全漏洞,微软周二发布了应急方案,但还没有对外提供该漏洞的正式补丁。
一位安全专家上周指出了IE中的这一漏洞,它涉及到Javaprxy.dll文件,该文件是微软Java虚拟机的组成部分,并能处理ActiveX控制。黑客们可利用该漏洞使IE崩溃,甚至在系统中添加他们自己的代码。
微软应急方案是通过更改Windows注册表而停止Javaprxy.dll功能,用户可到微软下载中心下载此方案。用户也可自己手工修改,但很多用户对操作系统的关键组成部分并不熟悉,如果发生注册表错误,将导致Windows系统无法启动。上述IE漏洞存在于5.01 SP3和SP4、5.5 SP2、6.0以及6.0 SP1等版本中,受影响的操作系统包括Windows 98、Me、2000、XP(XP SP2也不能幸免)以及Windows Server 2003(包括该系统最近推出的SP1).
微软一位发言人称,将尽快把应急方案放到Windows Update之中去,并表示今后的安全公告中有可能包括这次升级。微软预定的下一次安全升级公告将定于下周二(7月12日)进行,但微软没有承诺肯定会在这次公告中发布相应安全补丁。
丹麦安全公司Secunia将最新发现的IE漏洞危害级别定为“非常危急”。尽管目前还没有发现有人开始利用该漏洞发起攻击的证据,但赛门铁克上周六称,该漏洞的攻击代码已经被公开。赛门铁克的DeepSight Threat工作组称,相应的测试工作表明,利用攻击代码对Windows 2000的检测性攻击没有取得成功,但如果对代码进行少许修正,就有可能使攻击生效。
赛门铁克还表示,此前正对28876端口进行监控,但尚未发现有人向此端口发起攻击的迹象。
一位安全专家上周指出了IE中的这一漏洞,它涉及到Javaprxy.dll文件,该文件是微软Java虚拟机的组成部分,并能处理ActiveX控制。黑客们可利用该漏洞使IE崩溃,甚至在系统中添加他们自己的代码。
微软应急方案是通过更改Windows注册表而停止Javaprxy.dll功能,用户可到微软下载中心下载此方案。用户也可自己手工修改,但很多用户对操作系统的关键组成部分并不熟悉,如果发生注册表错误,将导致Windows系统无法启动。上述IE漏洞存在于5.01 SP3和SP4、5.5 SP2、6.0以及6.0 SP1等版本中,受影响的操作系统包括Windows 98、Me、2000、XP(XP SP2也不能幸免)以及Windows Server 2003(包括该系统最近推出的SP1).
微软一位发言人称,将尽快把应急方案放到Windows Update之中去,并表示今后的安全公告中有可能包括这次升级。微软预定的下一次安全升级公告将定于下周二(7月12日)进行,但微软没有承诺肯定会在这次公告中发布相应安全补丁。
丹麦安全公司Secunia将最新发现的IE漏洞危害级别定为“非常危急”。尽管目前还没有发现有人开始利用该漏洞发起攻击的证据,但赛门铁克上周六称,该漏洞的攻击代码已经被公开。赛门铁克的DeepSight Threat工作组称,相应的测试工作表明,利用攻击代码对Windows 2000的检测性攻击没有取得成功,但如果对代码进行少许修正,就有可能使攻击生效。
赛门铁克还表示,此前正对28876端口进行监控,但尚未发现有人向此端口发起攻击的迹象。