虽然Windows 8上市销售还不到一个月的时间,但微软周二仍将发布三个“危急”级别的安全更新,每个更新将用于修复可允许攻击者远程执行目标电脑代码的漏洞。
这意味着Windows 8上面存在的漏洞可以被攻击者利用,即便机主没有启动程序或打开文件。安全公司Rapid 7研究人员马库斯·凯利(Marcus Carey)说,尽管Windows 8的安全性相比以前的Windows版本有了显著的提高,但它仍然保留了之前版本的原有代码,这有可能是Windows 8存在漏洞的主要原因。
根据微软11月份的安全公告,Windows Server 2012也存在同样的漏洞。凯利说:“这一消息或许会让许多人感到吃惊,他们原以为Windows 8与Windows Server 2012的安全性远高于旧版本。事实是,微软和其他厂商的代码库都具有重要的技术债务(Technical debt),进而造成一系列安全问题。”
所谓“技术债务”是指过时的旧代码,在安全领域,它意味着容易遭受攻击的代码。
微软这个月总计会发布6个安全公告,其中四个属于危急级别。除了三个与Windows 8和其他Windows平台的有关外,第四个安全公告涉及Internet Explorer 9,其存在的漏洞能够引发“中间人攻击”,进而导致远程执行代码。
安全公司Lumension分析师保罗·亨利(Paul Henry)说:“目前没有电脑遭到主动攻击,不过这是一个高度优先级更新,还应该被认为是采用Windows 7或Vista的电脑的最高优先级更新。”
在微软发布的危急安全升级中,有一个旨在修复一个重大漏洞,这个漏洞可通过操作系统内核被用于渲染字体类型的路径,令系统暴露在远程执行代码的威胁中。例如,在嵌入网页的特制字体被渲染时,它们就可以产生漏洞。
这些漏洞被称为Windows True Type字体解析(font parsing),美国算机安全紧急反应小组(US-CERT)将其看作是Duqu恶意软件的组成部分。