微软承认跨浏览器漏洞责任在己 拟发补丁修复

腾讯科技讯 北京时间10月12日消息，据外电报道，微软已承认错误，决定发布一款补丁修补IE7上一个容易导致用户遭受攻击的漏洞。

微软Windows安全团队在公司博客上解释说，该系统漏洞源于IE7在Windows XP和Server 2003环境下处理统一资源标识符（URI）的方式。URI是一个地址的开头，用于指定使用哪个程序来运行文件或链接。例如，一个地址以“mailto:”开头地址可以启动一个电子邮件客户端；用户点击URI链接后，Windows会调用ShellExecute函数来运行URI指令。

几个月前，研究人员首次发现攻击者可以通过IE启动Firefox进而劫持用户的电脑，对此微软迟迟不肯承认这是它的责任，称此问题应该由第三方应用程序负责。后来Mozilla修复了Firefox，此事暂时告一段落。但不久又有安全研究人员发现此问题实际上是由URI协议的处理方式造成的，并波及许多第三方应用程序。

IE较早的版本一般会自行检查URI，如果链接中包含非标准的地址格式，那么这个链接就不会得到执行。但是，安全专家称，IE最新的版本允许执行非标准化的链接，结果就给那些恶意程序打开了方便之门，一些恶意程序可以潜藏在链接程序中得到执行。

Windows安全专家称Vista系统不存在这个安全隐患，因为它里面的一个安全插件可以阻止系统运行URI，从而保护Vista系统下的IE7免受攻击，但是XP和2003系统中并没有安装这种安全插件。

微软表示将推出一款补丁来修复这一漏洞。不过它并没有说明具体何时发布最新的补丁程序，只是建议研究人员目前先自行采取措施，以保证系统安全。(编译/阿兰)

[责任编辑:alonliu]

（编辑：IT资讯之家 www.it55.com）