详讯:微软承认Outlook中存在严重安全漏洞
http://www.sina.com.cn 2001/02/24 14:53 新浪科技
纽约当地时间二月二十三日,美国软件业巨头微软公司发布消息称,该公司广受欢迎的 电子邮件 服务软件Outlook和Outlook Express的确存在“缺陷”,它有可能被一些恶意 病毒 和“特洛伊 木马 ”侵入。这是该公司近来首次承认其电子邮件程序存在安全漏洞,此前,该公司对这一问题一直持否认态度。
微软公司在一份声明中表示,其电子邮件程序处理电子名片(Vcard)的方式存在“瑕疵”,这一“瑕疵”有可能使用户的个人电脑被“特洛伊木马”和一些病毒侵入。微软公司称,一些恶意的攻击者可能会编写一段数据或者程序,然后将这段数据安置在电子名片的“生日栏”当中,从而避开电子邮件软件的病毒安全扫描程序,当这些含有病毒的电子名片以电子邮件的形式发送给其他人时,他们的电脑就有可能遭到侵害。
微软公司表示,在Outlook 2000 或者 97以及Outlook Express 5.01或者 5.5打开含有恶意代码的电子名片(Vcard)时,这些包含在电子名片(Vcard)中的恶意代码将使电子邮件软件崩溃。更为严重的是,这些恶意代码有可能使用户的个人电脑遭到严重破坏。由于这些恶意代码的内容不受控制,完全取决于编写者的意愿,因此它所造成的破坏将是难以估量的。微软公司的一位安全顾问表示,“这些恶意代码能够进行任何它想要的操作,只要被感染的用户电脑有这个权限。”
据悉,这个安全漏洞是网络安全公司@Stake首先发现的,它使得人们对电子邮件附件的内容又多了一层担心。微软公司安全项目经理斯科特-卡普(Scott Culp)表示,公司已与@Stake公司紧密合作了两个多月,争取早日解决这个问题。尽管@Stake公司认为安全漏洞是出在电子名片(Vcard)的“生日栏”中,微软公司却并未对此予以证实。卡普表示,“我们公布这个声明的目的是告诉用户我们的软件存在哪些问题,它们会在什么情况下受到影响,以及用户有可能面临哪些风险。我们可不想帮助那些恶意的攻击者制造这些恶意的攻击程序。”
@Stake公司总部侠于马萨诸塞州的剑桥市,该公司的研究员奥利-怀特豪斯(Ollie Whitehouse)首先发现了这一缺陷,但他拒绝对此发表评论。该公司另一位安全顾问则警告说,这个缺陷很容易被病毒和“特洛伊”木马利用,成为攻击用户电脑的基础。
值得庆幸的是,电子名片(Vcard)文件总是以附件的形式出现且本身并不会自动打开,因此只要用户在收到电子名片(Vcard)时不主动打开它,用户的电脑就不会有被侵害的危险。但一旦用户双击了含有攻击代码的电子名片(Vcard)附件,或者将名片拖到邮件程序的“联系人”文件夹里,那么用户的电脑将面临非常严重的危险了。
卡普同时表示,苹果公司Macintosh电脑上的Outlook电子邮件程序并没有这种缺陷。微软公司建议用户尽快安装公司研制的补丁软件。在微软公司推出的IE5.01、5.5以及 Windows 2000 的补丁程序Service Pack 2版本中,这一缺陷已经得到解决。(王羽中)