2月13日消息,一些安全公司最近披露了一些“概念证明”式的攻击手段。这些攻击可以利用微软最新发布的安全补丁修复的那些安全漏洞,因此微软敦促用户采用最新发布的安全补丁。
微软周四(2月10日)在其网站上公布了一个概念证明攻击的文件。
这个作为样本的软件代码演示了Finjan软件公司和核心安全技术公司这两家安全软件厂商披露的如何利用安全漏洞对系统实施攻击。
虽然微软表示,它支持披露安全漏洞和概念证明代码,但微软反对安全公司在微软发布安全补丁才几个小时就发布这种概念证明式的攻击代码。
微软在通知中说,微软支持和赞同负责任地披露安全漏洞,因为我们认为这对于有效地发现和修复安全漏洞是非常重要的。但是,微软担心,在安全补丁公布几个小时之内发布这种概念证明式的攻击代码会使用户面临更大的风险。
微软说,在核心安全技术公司发布了概念证明式的攻击代码后,立即有人修改了该代码,并且实施了真正的攻击。这个恶意攻击代码可以使那些没有使用安全补丁的计算机用户受到攻击。
Finjan软件公司曾报告,微软OfficeXP软件中存在严重的安全漏洞,并在微软发布安全补丁的同一天发布了概念证明式的攻击代码。核心安全技术公司曾报告微软Windows和MSN软件的PNG(便携式网络图形)处理技术中存在严重的安全漏洞,该公司也发布了概念证明式的攻击代码。微软强烈谴责了这两家公司的做法。
微软表示,这两家公司忽略了一项不成文的行业规则,也就是在公布这些代码之前,应该给研究人员测试和安装补丁保留一段合理的时间。