一名“捉虫专家”日前公布了他最新发现的微软IE 5.0中存在的一个Bug。当用户利用IE 5.0下载一个被做过手脚的页面时,黑客即可通过这一Bug查看用户有权访问的某些服务器目录,如果黑客设法搞到“用户名”,还能窃取用户在Exchange 2000服务器上保存的电子邮件等文件。这名专家将这一Bug的危险性定为“高级”。用户可自行采取措施解决这个问题,即将IE 5.0中的“活动脚本”(Active Scripting)设为“禁用”。这一增强性功能一直被发现存在安全隐患。微软尚未对此作出评论。不过在该专家的网站上已贴有一份显然是来自微软安全反应中心的帖子,要求他“对这一Bug作进一步解释,而不仅仅是对用户发出恐吓“。这份帖子还称:“让人访问做过手脚的网站不能算是真正的黑客伎俩”。业内人士认为,近年来微软非常注重其各种产品之间的互用性,然而却忽视了由此而产生的安全漏洞。最明显的一例就是其Outlook软件,它在“爱虫”和“美丽莎”病毒的传播过程中扮演着“为虎作伥”的角色。
|