关于IE

  在2002年10月刚刚发现新的微软IE浏览器漏洞后，著名的GreyMagic 安全小组继续寻找IE浏览器的安全问题，出人意料的是该小组又发现了9个新的IE浏览器漏洞，其中有8个被评定为"危急"程度。

GreyMagic软件公司的发言人称该公司的安全小组试图与微软公司合作，共同解决安全问题，但发现漏洞修补工作进展缓慢。因此，GreyMagic采取完全曝光（full disclosure policy）的策略，在仔细验证了发现的漏洞后，它在通知微软公司的同时向外界公布。

针对GreyMagic采取的上述策略，微软发言人称微软公司已经开始关注GreyMagic曝光安全漏洞的方式。该发言人称大多数的普通用户并不能利用公开发布的信息来有效的保护自身系统的安全。同时数量有限的专业安全邮件列表用户之间的交流并不能真正提升微软系统的安全性－反而给黑客带来了更多的可乘之机。

关于新的漏洞
新发现的漏洞都是由于对在同域内的不同网页校验失败而产生的。上述问题都和对象缓冲（object caching）机制有关，攻击者打开一个对象窗口后，可以访问不同的非相关对象。

下面对漏洞的描述细节包括了一般的产生环境以及概念验证信息，这些内容都是由GreyMagic提供的。漏洞的描述和利用方法也都是GreyMagic发现并在网页上公布的。

适用范围
微软IE浏览器 5.5和6.0。即使打了SP1服务包后，external和clipboardData这两个漏洞仍不能修复（另外七个则可以修复）。

请注意：GreyMagic提示所有使用IE 5.5和6核心引擎的其它浏览器比如MSN Explorer和AOL浏览器等同样存在上述安全漏洞。

有报道说为IE5.5升级SP2服务包后将可以修复漏洞，但用户还是需要等待微软公司的安全检测报告来确定上述传闻的可靠性。

风险级别：危急
上述漏洞被评定为"危急"程度的原因是攻击者将可以访问用户系统内部文件，且可以运行软件（执行命令）。

缓和因素
攻击者需要知道所拷贝和运行的文件的具体位置，但用户绝不能对此报以侥幸心理，因为Windows系统存储的某些重要文件（比如密码文件等），都是存放在固定的位置的。

修复
GreyMagic软件小组建议用户立即关闭Active Scripting功能，知道微软推出合适的漏洞补丁。GreyMagic推出了一个快速在线测试，可以让用户判断是否需要修复这九个新的对象缓存漏洞

结语
有些人可能对GreyMagic以新闻发布的方式来公开系统漏洞感到不以为然，但GreyMagic在以往确实试图和微软公司一起来解决系统漏洞问题。不幸的是，GreyMagic认为系统漏洞在发现后往往没有得到及时解决，应该担负起责任的微软公司往往一拖就是半年。

GreyMagic通过电子邮件告诉笔者，他们认为用户有权力知道常用软件中存在的问题，并采取应由的防护手段来保证自己系统的安全（在微软公司推出补丁之前）。

当然黑客也可以利用该小组发布的信息来进行攻击，因此笔者并不完全支持GrayMagic所采取的快速曝光策略。从另一方面来说，笔者非常理解GreyMagic安全小组在遭受挫折后的焦虑心情，坐视微软忽视严重问题自然很不好受。

同样重要的一点是，在GrayMagic安全小组公布漏洞之前，很多系统破坏者（Cracker）就掌握了许多漏洞并进行攻击。通常只有微软的安全小组发布相应信息后，用户才有所了解。

除非微软能够一改以往的拖沓作风，否则笔者认为企业用户最好采取其它手段来保证系统安全，而施加压力让微软公司以最快速度发布补丁、修复危险漏洞则是上上之策。

如有补丁下载，请john兄，把链接发过来。谢谢 --------------------        
有情来下种，因地果还生；

无情亦无种，无性亦无生。

               -------“睡教”教主！

对不起大家，最近找到的是在superdown.com上的一个连接，不过好像是引导至download.microsoft.com上，需要代理和很快的网速，劝大家在等几天吧！

安装xp sp1就带有ie sp1。

可以安装了后和多网页中的东西没有办法用了 -------------------- [IMG]http://www.oxdns.com/Sources/Images/oxdns_04.gif[/IMG]


视觉中国-[a]http://www.ChinaVisual.com[/a]