微軟解釋漏洞為何花七年才補

| | | | | | 7則回應

    

微軟有個已知的安全漏洞，費時七年才修補好，微軟日前對此提供一個解釋。

這個安全漏洞出現在微軟伺服器訊息區塊(Server Message Block；SMB)協定，一直到微軟周二發布安全更新程式MS08-068後才亡羊補牢。這個SMB協定漏洞可能造成SMB Relay攻擊，讓駭客自遠端安裝程式，瀏覽、更改或刪除資料，或建立擁有完整使用者權限的新帳戶。

微軟安全反應中心安全程式經理Christopher Budd周四在部落格貼文解釋說，儘管微軟之前已得知這個安全漏洞，但若貿然修補可能破壞用戶的網路應用程式。

Budd寫道：「這個問題最早在2001年被提出，我們當時的說法是，我們解決這個問題的同時，不能不考慮對網路應用程式可能造成的負面影響。明白說，這影響可能造成許多(或幾乎所有)用戶的網路應用程式無法操作。」

他指出，2001年微軟建議用戶使用SMB簽章，當時微軟就明白這種作法可能不是有效的解決方式，「用戶會面臨類似的限制，使使用SMB簽章變得不可行」。

根據Metasploit部落格，這個安全漏洞最先是由安全研究員「Sir Dystic」在2001年舉行的 @tlanta.con大會中提出的。Metasploit也在今年稍早的攻擊工具裡，納入SMB Relay模組。

Metasploit在周二部落格文章指出，微軟釋出的SMB修補程式只有局部效用。

化名「HD」的作者說：「MS08-068修補程式解決的，只是駭客連接回受害者電腦的攻擊情況，並不能解決駭客把連線轉到第三方主機(third-party host)，再引誘受害者存取該主機的情況。」

在記者發稿前，微軟對此說法尚未作出回應。

(唐慧文/譯)