[转贴]：IE再现4个安全缺陷 微软可能发布"紧急"补丁

whwhq

　　安全专家警告称，IE中新发现了4个安全缺陷，即使用户已经安装了微软公司最新的补丁软件，这些缺陷也能够使黑客在用户的Windows计算机上运行恶意代码。

　　部分新缺陷正在被用来攻击Windows用户，其中包括一个能够使黑客伪装Web网页地址的缺陷以及能够使互联网上的恶意网页不经过安全检查就被IE处理的缺陷。微软公司的一名发言人已经证实了这一问题，并表示，微软公司正在对攻击事件进行调查，并在考虑应对措施，其中包括发布解决该问题的“非常时刻”补丁软件。

　　有关4个新安全缺陷的言论最近数周出现在安全新闻组中。二个缺陷是由署名为Rafel Igvi的用户首先发现的，并被发布到了NTBugtraq安全邮件列表中，它们能够使黑客在让用户计算机从恶意网页上下载内容的同时，在IE地址栏中显示合法的网页地址，黑客可以使用电子邮件或通过其它网页上的链接诱惑用户点击恶意网页。 据安全厂商Secunia公司称，新缺陷能够使黑客隐藏通过在地址前添加“::/”符号加载的网页的真实地址。PivX方案公司的高级安全研究人员托尔表示，新缺陷与“%01”缺陷非常相似，而且它们都出在IE代码中相同的部分。

　　另一个缺陷被称作“跨域脚本”缺陷。Secunia公司称，该缺陷能够欺骗IE使用通常适用于存储在本地机硬盘上的文件或从microsoft.com等可信任网站上获得的宽松的安全设置来加载不安全的内容。

　　托尔表示，当这二个缺陷被综合运用时，它们就可能造成破坏力较大的攻击，黑客可以长时期欺骗缺陷使相信它正在访问一个安全的网站，而实际上它可能正在下载恶意内容。他说，地址欺骗缺陷确保黑客能够从其网站下载内容，跨区域脚本缺陷确保他能够在可信任的安全域内“从容地”发动攻击。

　　另外二个缺陷与前二个缺陷非常相似，分别属于地址欺骗缺陷和跨域脚本缺陷。

　　托尔说，所有这四个新缺陷都是过去二年来发现的缺陷的变种，表明了IE设计上的问题。特别是，微软公司“安全域”的实现存在很大问题，修正这样的问题需要对浏览器“动大手术”，微软公司计划在发布代号为Longhorn的新一代Windows操作系统时将重新设计IE。

　　微软公司的发言人表示，微软公司将与司法部门进行合作，起诉利用缺陷对计算机用户发动攻击的黑客。

宝宝贝贝

下载什么补丁啊????有网址吗?