据国外媒体报道,微软对研究人员称,它不会修复一个可能导致许多Windows应用程序遭到攻击的安全漏洞。
据许多报道称,许多开发人员(包括微软的)滥用Windows的重要功能导致许多应用程序因装载组件的方式而受到攻击。
这个问题是上个星期首次出现的。当时,Rapid7首席安全官和开源软件Metasploit黑客工具的制作者HD Moore说,他发现了包括Windows Shell在内的40个有漏洞的应用程序。一天之后,斯洛文尼亚的安全公司Acros说,在它从2008年12月开始实施的一项调查中,该公司发现了 200个有漏洞的Windows应用程序。
所有这些研究人员都指出,由于软件装载Windows动态链接库(即.dll扩展名的文件)以及.exe和.com为扩展名的可执行文件的方式 存在问题,黑客能够利用许多Windows应用程序的安全漏洞。如果黑客在应用程序搜索的一个目录中植入伪装的恶意软件,当应用程序查找一 个.dll、.exe或者.com文件时,黑客就能劫持用户的PC。
Kwon星期一说,他在包括Office 2007、Adobe Reader和所有主要的浏览器在内的Windows程序中发现了将近30个安全漏洞之后,他曾在2009年8月向微软报告了这个问题。
在Kwon与微软安全反应中心的工程师就远程可执行代码的安全漏洞问题进行的交流过程中,微软对他说,微软不会发布安全补丁,而是通过未来推出的Windows和Office的服务包来解决这个问题。
Kwon说,微软不愿意提供补丁是因为造成这种安全漏洞的根本原因是其它厂商的产品。微软还告诉他说,微软打算与那些包含安全漏洞的软件的厂商进行合作。
斯洛文尼亚的安全公司星期一在博客中说,根据我们的研究结果,我们可以肯定地说,所有的Windows用户都可能受到通过至少一种二进制代码植入安全漏洞实施的攻击。
微软对于Kwon所说的该公司不愿意或者不能通过修复Windows漏洞解决这个问题的说法不愿意发表评论。