微软发言人阐述公司将该声明从网站安全区域的热点话题中删除是因为微软在综合调查结果后某些问题已经发生了变化。
LAC的安全建议指注意到微软2月13日公布的IE6的漏洞允许”下载一个文件并在几种环境下自动执行“。3月18日LAC发出警告,不提供漏洞的技术细节,但建议用户从IE选项菜单中取消文件下载选项。LAC的Arai Yuu拒绝向newsbytes提供更多信息,并说在补丁发布之前不会公布细节。
在被删除前,该文件声称LAC所发现的安全漏洞只会发生在系统中安装了”第三方媒体播放器“的情况下。在微软的取消声明中声称”暂时来说,该问题与IE或安全补丁无关”。微软的发言人今天拒绝证实哪种媒体播放器导致问题,但说微软正与第三方软件公司及LAC合作消除漏洞。 中国网管论坛bbs.bitsCN.com
RealOne播放器的开发公司Real Networks及Quicktime播放器的开发公司苹果电脑的代表都表示与漏洞没有关联。提供Winamp播放器的AOL则没有回应。
去年12月微软曾提供了一个补丁用于修复IE为人所知的Content-Disposition和Content-Type头漏洞,该漏洞潜在的允许攻击者将某一程序下载至用户系统并运行。
帮助微软证实并修复漏洞的芬兰的安全专家Jouko Pynnonen证实被LAC发现的漏洞“可能是一个变种,但如果是一个全新的漏洞也不奇怪“。而据Jscript.dk,一个追踪IE漏洞的站点宣称,目前在微软的未发布的IE补丁列表上至少有六个安全漏洞。
LAC的安全建议位于:http://www.lac.co.jp/security/english/snsadv_e/48_e.html .
微软的安全建议位于: http://www.microsoft.com/technet/security/default.asp .
Jscript.dk‘s的IE漏洞列表: http://www.jscript.dk/unpatched/ .
网管网bitsCN.com
原文出自: http://www.newsbytes.com .
