天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

安全公司披露微软上月悄悄修复3个严重漏洞

2010-5-7赛迪网天虹
     5月7日消息,据国外媒体报道,一位安全专家本周四称,微软上个月悄悄地修复了三个安全漏洞,其中有两个安全漏洞影响到企业执行重要任务的Exchange邮件服务器。微软在安全公告中没有说明这些安全漏洞。

  微软没有宣布的三个安全漏洞之中的两个安全漏洞和这三个安全漏洞中的一个最严重的安全漏洞被打包在了MS10-024安全补丁中。这是微软在4月13日发布的Exchange和Windows SMTP服务的一个更新并且标记为“重要”等级。这位微软排在第二位的威胁等级。

  据Core安全技术公司首席技术官Ivan Arce说,微软修复了这些安全漏洞,但是,没有披露它修复了这些安全漏洞的消息。这些安全漏洞比微软披露的安全漏洞更加严重。这意味着系统管理员也许会对使用补丁的决策做出错误的决定。他们需要这个信息来评估这个风险。

  Core实验室研究人员Nicolas Economou在深入研究微软发布的安全更新的时候发现了这两个没有宣布的安全漏洞。

  Core对于研究人员Economou的这个发现发表了自己的安全公告。这个安全公告称,攻击者能够利用微软MS10-24补丁修复的这两个没有公开的安全漏洞假冒对于Windows SMTP服务发送的任何DNS查询的回应。除了MS-024补丁原来说明的拒绝服务攻击和信息泄露等影响之外,DNS回应欺骗和缓存染毒攻击还能产生其它各种安全影响。

  nCircle Security安全运营经理Andrew Storms说,秘密补丁既不是新鲜事也不少见。多年以来一直存在这种事情。这种事情本地也不是一个巨大的阴谋。

  不同寻常的是Core把微软悄悄地修复安全漏洞的事情公开了。Core称,微软错误地说明和低估了MS10-24安全漏洞的严重性。Core敦促企业IT管理员考虑重新评估优先使用补丁的事情。

  Core发现的第三个没有说明的安全漏洞是在微软4月13日发布的MS10-028补丁中。这个补丁修复了微软项目图表软件Visio中的安全漏洞。

  微软承认它在没有告诉用户的情况下修复了一些安全漏洞。但是,微软为这种做法进行了辩护。微软安全计划经理Jerry Bryant说,这样做有助于减少用户使用安全补丁的数量,因为更新会中断用户的软件环境。

本文来源:赛迪网 作者:天虹

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行