据悉,独立安全研究人员Tom Ferris在微软发表最新浏览器IE 7.0 Beta 2版本才几个小时,就发布了新IE7浏览器的漏洞。Tom Ferris说,他在安装完IE 7.0 Beta 2并用Fuzzer软件检查该浏览器的潜在安全漏洞时,不到十五分钟就发现了这个漏洞。
微软程序经理Tony Chor证实了这个漏洞会让IE当掉,但初步研究并未发现可被执行任意程序。而Tom Ferris指出,这个漏洞令IE 7.0读取特别的HTML文件时,可能会发生“非法操作”,因为urlmon.dll无法适当地分析file://协定。他还确信,这个漏洞可能引发阻断式服务攻击(denial-of-service,DoS),最后可能被更改成能在使用者计算机中植入未经授权的程序。
据Tony Chor称,微软在进行程序代码检查时就发现了这个漏洞,已被排除在修补名单内,同时,他们并不相信这个漏洞可轻易被黑客用来攻击。虽然IE 7.0将是微软新一代操作系统Windows Vista所使用的浏览器,但因Windows Vista尚未出炉,因此现阶段微软所发表的IE 7.0测试版都是支持Windows XP的,支持XP的IE 7.0正式版本预计在今年第二季出炉。
(第三媒体 2006-02-05)