安全研究人员在检查Windows 2000及NT4软件的程序代码时,在旧版的IE浏览器里发现了漏洞。
这个只存在于IE 5.01的漏洞让黑客可设立假造的网络服务器,或者是在用户点选U
RL时送出可能让计算机感染病毒的恶意电子邮件。安全研究人员在上周末公布了这个漏洞,微软承认有这个问题,并表示正在调查当中,同时表示该漏洞并不会影响IE6。
这项漏洞的发现也证实了微软上周所泄露的Windows源代码可能被用来寻找微软软件的漏洞。目前依然有人在网络上散布两个200MB内含源代码的文件,就目前情况看,微软似乎无法控制源代码泄露的效应。
Larholm指出,泄露的程序代码中(都是两年以上的软件)有许多已经内含在最新版的微软操作系统里。
微软在未告知消费者的情况下自行在下一版的IE修改了这个问题,这种做法也就是安全业界所谓的“暗中修复”(silent fix)。@Stake公司的数字安全研发副总Chris Wysopal表示,修补程序的做法很好,但是厂商应该要确保终端使用者得到通知。