微软没有宣布的三个安全漏洞之中的两个安全漏洞和这三个安全漏洞中的一个最严重的安全漏洞被打包在了MS10-024安全补丁中。这是微软在4月13日发布的Exchange和Windows SMTP服务的一个更新并且标记为“重要”等级。这位微软排在第二位的威胁等级。
据Core安全技术公司首席技术官Ivan Arce说,微软修复了这些安全漏洞,但是,没有披露它修复了这些安全漏洞的消息。这些安全漏洞比微软披露的安全漏洞更加严重。这意味着系统管理员也许会对使用补丁的决策做出错误的决定。他们需要这个信息来评估这个风险。
Core实验室研究人员Nicolas Economou在深入研究微软发布的安全更新的时候发现了这两个没有宣布的安全漏洞。
Core对于研究人员Economou的这个发现发表了自己的安全公告。这个安全公告称,攻击者能够利用微软MS10-24补丁修复的这两个没有公开的安全漏洞假冒对于Windows SMTP服务发送的任何DNS查询的回应。除了MS-024补丁原来说明的拒绝服务攻击和信息泄露等影响之外,DNS回应欺骗和缓存染毒攻击还能产生其它各种安全影响。
nCircle Security安全运营经理Andrew Storms说,秘密补丁既不是新鲜事也不少见。多年以来一直存在这种事情。这种事情本地也不是一个巨大的阴谋。
不同寻常的是Core把微软悄悄地修复安全漏洞的事情公开了。Core称,微软错误地说明和低估了MS10-24安全漏洞的严重性。Core敦促企业IT管理员考虑重新评估优先使用补丁的事情。
Core发现的第三个没有说明的安全漏洞是在微软4月13日发布的MS10-028补丁中。这个补丁修复了微软项目图表软件Visio中的安全漏洞。
微软承认它在没有告诉用户的情况下修复了一些安全漏洞。但是,微软为这种做法进行了辩护。微软安全计划经理Jerry Bryant说,这样做有助于减少用户使用安全补丁的数量,因为更新会中断用户的软件环境。