微软为修补Internet Explorer浏览器的安全漏洞,已一连发布第三版安全更新,以免黑客趁虚而入劫持Windows PC。
原始的MS06-042修补程序在8月8日发布,但却夹带两个新的安全漏洞。微软连忙在8月24日发布更新版修补程序,先补好其中一个安全漏洞,然后在9月12日发布的第三版安全更新中,再解决第二个安全瑕疵,微软IE程序经理Tony Chor在微软博客上写道。
微软上个月发布12项安全更新,MS06-042是其中之一,属于积存性安全更新,用来修补八种安全瑕疵。微软把这项更新归类为“重大”(critical),是严重性最高层级。
这项修补程序如今解决了10个瑕疵,包括旧版更新导致的两个瑕疵。第一个瑕疵影响已安装第一版更新组件(SP1)的IE 6.0浏览器,若不修补可能被黑客自远端存取,遥控受害者的Windows PC。
第二个瑕疵与第一个类似,但影响的是Windows 2000上的IE 5.01、IE 6.0 Service Pack 1 (影响区块不同),以及随Windows Server 2003初版推出的IE。
Chor写道:“这次的更新周期不是我们的最佳范例,但我们会利用这次的经验,改善更新的过程,并提升透明度,以确保我们发布的都是符合我们自己与客户期待的高品质更新。”
修补程序管理公司Shavlik Technologies首席执行官Mark Shavlik说,这可说是微软发布的安全修补程序中第一次发现夹带新安全弱点的状况,导致使用者陷入“修补也不是,不修补也不是”的两难处境。
Shavlik接受电子邮件访问时表示:“使用者若安装第一版或第二版的MS06-042修补程序,又以IE浏览器造访恶意的网站,可能反而遭到黑客入侵。”
第三版的IE修补程序,连同三项新的微软安全更新,一并连同每月例行性的更新周期发布。
微软另发言新版的MS06-040 Windows更新,修正先前发布的更新不见容于64位及32位版Windows Server 2003(附SP1)、以及Windows XP专业x64版的问题。微软上个月曾发布临时修正程序(hotfix)以解决这个问题。
新一批更新可通过微软正规的发布渠道取得,包括Windows Update、自动更新与下载中心(Automatic Update and Download Center),以及Windows服务器更新服务(Windows Server Update Services)等更新部署工具。微软建议所有受影响的使用者立即安装新软件,以策安全。