安全漏洞存在三年 微软至今未修补

近日，针对微软承认存在了三年的Jet数据库引擎安全漏洞至今未做秀不，赛门铁克的一位研究人员称，微软应该几年前就修复这些安全漏洞。

微软安全研究中心运营经理Mike Reavey本周一下午在微软安全研究中心博客中发表的一篇文章中承认，外部研究人员在2005年和2007年曾分别通知微软在Jet数据库引擎中存在安全漏洞。Jet数据库引擎是Windows的一个组件，提供对微软Access和Visual Basic等应用程序的数据访问。

在这上述两个事件中，微软告诉这些研究人员它不会修复这个安全漏洞，因为它考虑到了用户的安全。Reavey解释微软的决定说，Outlook封锁了.mdb文件，禁止打开这种文件。Exchange服务器从发进来的电子邮件中剔除这种文件，当人们点击这种文件时，IE浏览器将发出警告。

然而，微软没有想到黑客现在使用的攻击策略。Reavey说，由于黑客发现了这个攻击向量，一切都发生了变化。这使攻击者能够通过打开一个微软的Word文件装载一个MDB文件。他说，微软以前的安全指南不能防御这种新的攻击。这是我们警告用户防止这种攻击并且重新调查Jet解析安全漏洞的原因。这是一种我们以前不知道的新的攻击向量。

赛门铁克研究人员上个星期发布了这个研究结果，促使微软发布了一个安全公告，警告在Windows 2000、XP和Server 2003 SP1平台上使用Word软件的用户采取防御措施。

一位安全研究人员称，微软要是早一些解决这个问题就会防止现在突然忙乱地修复漏洞的情况。

赛门铁克安全反应小组的一位经理Oliver Friedrichs称，我数不清微软的产品以前出现过多少次这样的事情了。微软显然应该是对这种安全漏洞最担心的。一直存在两个安全漏洞，一个是在 2005年发现的，另一个是在2007年发现的。这两个漏洞都没有使用补丁。他说，这个问题引起了人们的担心。

微软安全研究中心仍在研究它如何修复这个安全漏洞，或者增加更多的障碍阻止目前已知的利用恶意的Word文件实施的攻击。这个防御措施可能是设法阻止在不提示用户的情况下装载.mdb文件，或者在更新版本的Jet软件中使用补丁。Windows Vista、Windows Server 2003 SP2和即将推出的Windows XP SP3都采用了使用补丁的Jet数据库引擎。