微软:Windows Server 2003打出第一块安全补丁 

    微软日前开始提供Windows Server 2003的第一个安全漏洞补丁程序。该补丁针对的是IE6.0/5.5/5.01,同时也适用于Windows 2003的IE6.0。

    此次漏洞有两个,由eEye Digital Security公司发现。第一个漏洞可引起缓存溢出。第二个漏洞则是IE浏览器根据HTML对象标签(Object Tag)确定对象类型的方法存在缺陷。两个漏洞均能使攻击者在用户系统中执行任意代码。

    微软已公开了“用于Internet Explorer的累积补丁程序(818529)(MS03-020)”这一安全信息,以对付上述两个漏洞。此次发布的补丁程序还可消除IE6.0/5.5/5.01以前的安全漏洞。

    微软一般将上述两个漏洞定为危险程度最高的“紧急”级,但Windows 2003的IE6.0方面,则定为第三级的“警告”级,这是因为该系统已经强化了IE浏览器的安全设置。比如,不仅无法运行脚本、Active X控件以及微软的Java虚拟机,而且某些特定类型的HTML内容和文件的下载等也受到了限制。

    不过,如果用户放宽了这些强化安全设置,就应该把该漏洞视为“紧急”级。比如,作为终端服务器使用时,就会降低上述的安全设置。

    有的用户对安装累积补丁程序可能会有一些疑问。因为本来只是要对付最新的安全漏洞,但实际上却还要同时安装旧漏洞的补丁程序。累积补丁程序固然有方便的一面,但系统管理员此前对补丁程序的严格挑选和安装工作,在对付最新漏洞时却有可能付诸东流。而且使用累积补丁程序,在无意识下安装的旧补丁程序还有可能破坏系统的稳定性。另外,如果只提供与旧补丁程序混合在一起来安装最新补丁程序的方法,往往难以追查系统的安全隐患。

    这种担心也不无道理。比如,一年后即使看到了安全信息,从“Internet Explorer累积补丁程序”的标题中几乎也得不到任何最新信息。甚至可能让用户觉得并不存在新的安全漏洞,自己只是在单纯地收集过去安装的补丁程序。结果,用户也许就不再安装这个补丁程序,而使这种“紧急”级漏洞处于放任自流的状态。