据国外媒体报道,每个月的第一个星期二是微软公司Windows系统补丁发布日。但在9月份的补丁发布日,微软并没有发布Windows XP的TCP/IP漏洞补丁。
据微软上周四发布的安全公告MS09-048介绍,微软发布的安全更新“可解决传输控制协议/Internet 协议 (TCP/IP) 中多个秘密报告的漏洞。如果攻击者通过网络向具有监听服务的计算机发送特制的 TCP/IP 包,这些漏洞可能允许远程执行代码”。
也就是说,黑客可以利用这个漏洞控制用户的计算机。在用户等待网络连接之前,黑客便可以对用户计算机为所欲为。目前,微软已经修复了Vista 和Windows Server 2003/2008的这个漏洞。但如果你是XP或Windows 2000用户,你就不是那么幸运了。
微软公司表示,如果要修复这个漏洞,微软不得不重新构建Windows 2000 SP4系统,不只是对组建进行改进那么简单。但安全专家认为,微软夸大了修复Windows 2000 TCP/IP漏洞的难度。
网络调研机构Net Applications最新的数据显示,Windows 2000目前的市场份额不足1%。但Windows 2000用户数还是高达数百万,微软让如此多的用户处于危险之中的做法很难让人理解。
Net Applications的数据还显示,2009年8月份XP的市场份额仍然高达71.8%,而且微软目前仍然在出售XP系统,难道微软对数亿的安全用户置之不理吗?
对此,微软解释,Windows XP SP2、Windows XP SP3和64位版Windows XP SP2的客户端防火墙没有配置监听服务,因此这些版本的XP系统不受该漏洞的影响。拒绝服务攻击需要一个特殊的TCP包,攻击停止系统就将恢复。这使得Windows XP的受威胁等级变低。
安全分析人士认为,XP用户经常受到恶意软件电子邮件的影响,微软这样的解释无法让人信服。