|
北京时间8月19日消息负责检查微软公司Windows XP SP2的德国专家发现SP2软件包存在两个漏洞,它们会导致病毒制造者和黑客规避操作系统的安全设限,对计算机发动攻击。但微软认为没有必要微这两个漏洞打上补丁。
德国安全专家Schmidt和他的同事发现,在XP SP2中,采用IE浏览器记录文件下载或采用Outlook Express的ZoneID功能保存电子邮件时,微软系统会出现两个漏洞,不过Schmidt认为这两个漏洞并不严重,他仍建议用户安装SP2。
ZoneID记录了生成文件的IE浏览器安全分区,IE浏览器安全分区对不同的文件资源和数据的安全等级进行了划分,例如,从互联网下载的文件的安全等级就低于从局域网下载的文件。
XP SP2将ZoneID保存在计算机的一个文本文档中,这一文件和下载文件相关联,并且当Windows用户试图从带毒网站打开文件时,ZoneID会发出弹出窗口警告。但Schmidt发现微软的某些功能会导致用户在没有接收到警告提示的情况下,打开有毒的文件。
Schmidt认为另外一个漏洞是“设计错误”,在XP SP2中,如果文件被重命名,XP SP2不能立刻升级ZoneID信息,这将导致黑客通过对有毒文件的重命名,产生警告提示,从而在短时期内大肆传播用户的警告提示。
据Schmidt透露,他已将发现两个漏洞的报告通知了微软,微软安全反应中心对Schmidt的报告进行了回复,认为Schmidt提出的问题与“SP2新的安全保护设计目标”没有冲突,微软不认为这两个漏洞严重到需要打补丁的程度。
不过微软的一位发言人对Schmidt所称的微软回复一事不置可否。
| 
