微软IE 7安全漏洞又成热点

【IT168 业界新闻】微软公司在推出IE 7两周内，第二次与一家安全公司就IE7中的漏洞是否是一个真正的安全漏洞发生争执。

    本周早些时候，丹麦安全公司Secunia指出IE 7中存在一个缺陷，当用户登陆网上银行或信用卡帐户时，身份窃取者可以利用它获取用户密码。Secunia公司指出，该漏洞早在两年前就开始在IE 6中出现，但微软公司并未对其进行修复。 

    本周一，微软公司否认这是一个安全漏洞。“我们在2004年对此类问题进行过彻底地调查，发现这会导致用户受到网上欺骗的侵害，用户不需要确认网页的地址，也不用确认SSL连接，就要相信网页的真实性，”微软公司安全反应中心的安全项目经理Christopher Budd在团队的博客上写到。 

    Budd继续说，换句话说，发生这一情况前提就是，你故意不使用那些专门用来防止出现网上欺骗行为的安全工具。因为这个原因，我们在2004年就表示，这个问题不像我们所定义的那样属于一个安全漏洞。 

    Secunia的技术总监Thomas Kristensen提出异议。他指出，虽然容易出现网上欺骗事实上影响了网页的浏览，但只有微软公司的IE浏览器没有对其进行修复。比如Firefox，在1.0.1版本中发现第一个安全漏洞后的两个月进行了修复，Opera也是如此。苹果公司的Safari在发现漏洞后的一个月进行了修复。 

    2004年12月，IE 6发现用户容易受到网上欺骗后，用户被建议屏蔽浏览器安全设置中的“Navigate sub-frames across different domains” 选项。 

    “现在IE 7默认该设置被置为屏蔽，这是一件好事，但是没有效果，这很糟糕！”Kristensen在一封发给TechWeb的EMAIL中写到。 

    Kristensen在Secunia网站的博客中也对其进行了批评。“虽然事实摆在面前，他们想利用默认屏蔽"Navigate sub-frames across different domains" 选项来保护用户，但现在他们还说这不是安全漏洞。” 

    “微软公司应该对浏览器中出现的缺陷和安全漏洞负责，以确保用户免遭到网上欺骗及类似攻击，”Kristensen继续指出，“难道这就是微软在广告中所说的IE 7要比上一个版本优秀吗？” 

    Secunia和微软公司在两周前就发生过类似的争执。微软发布IE 7正式版后，Secunia在数小时之内就发现了其中隐藏的一个安全漏洞。微软做出回应，说这一安全漏洞不存在IE 7中，而属于Windows XP 绑定的免费邮件收发软件Outlook Express中的问题。