微软推卸IE7漏洞修复责任

在上周五一名研究人员称微软IE7浏览器可被用来诱使用户运行恶意软件之后,安全研究人员再次就谁应对此负责展开激烈争论:是微软,还是第三方开发者?
在发送给Full Disclosure邮件列表的邮件中,Heise Security研究人员约儿根·斯克梅德指责IE7向Windows XP传递无效URL.斯克梅德称,尤其是IE7接受来自其他应用程序包含“%”字符的URL,当用户点击一个恶意构造的链接后,将可能在用户机器上启动软 件或脚本.

据斯克梅德和其他一些安全人员称,更早的IE6并不存在这个问题,这表明在两个版本之间出现了某种断层.德国安全公司n.runs入侵检测人员蒂埃里·祖勒称,“IE7出现了它之前版本所没有的错误/威胁/漏洞.”

　　Windows URL协议处理技术可以使浏览器通过URL中的命令运行其他程序.自从今年7月挪威安全研究人员托尔·拉赫姆演示了IE和Firefox如何被用来运行恶意代码之后,这项技术就一直被广大安全研究人员所批评.自此,研究人员在关于漏洞责任方面一直争论不休.Mozilla数日后修补了Firefox,但微软拒绝修补IE,它认为软件中的这个问题不能被定性为一个漏洞.

　　在检查多款应用程序,包括Adobe Acrobat Reader、Nerscape浏览器、Miranda和即时通讯客户端之后,他发现,它们都存在对“%”字符的URL的不正确处理问题.他暗示,目前市面上很多应用程序中存在这个问题.

　　一石激起千层浪.斯克梅德在Full Disclosure上的邮件引发了诸多争议.“这些应用程序能够接受任意输入且并未正确地进行检验,”一位自称在微软工作,名为罗杰·格拉姆斯的人说. “那怎么是微软或者Windows的问题呢?微软怎么能够提前知道向第三方应用程序所传递的是合法还是非法字符?”

　　对于格拉姆斯的质问,祖勒回应道,“这怎么不是一个Windows系统的问题?它难道不应该决定哪些参数应当传递,哪些不应当传递?问题在于,约儿根所举例中它们是在内部传递,而非向第三方应用程序.”

　　另一名署名为“Geo”的用户质问道,“如果是应用程序使URL处理程序暴露在来自互联网的不可信代码面前,那么应用程序就有责任、有义务在向系统组件传递命令之前,确保代码是可信的.这难道不应该如此吗?”

　　7月份,在斯克梅德询问微软安全中心是否将解决此问题后,微软一直在就此事推卸责任.“在经过其彻底调查后,微软认为这并非是微软产品中的一个漏洞,并拒绝就此承担修复责任.”

　　然而,去年夏季,一名IE项目经理表示,逆动地添加对可能不合法的URL的检查“非常困难”,并将第三方应用程序定性为“真正的罪魁祸首”.这名项目经理称,“第三方程序有责任确保它能够安全地处理传入的参数.”

　　但也有一些安全研究人员并不这样认为.比如,赛门铁克公司向其客户就其DeepSight威胁系统发布安全警示,提醒他们提防此问题,并将责任归咎于微软.赛门铁壳的安全警示称,“这个问题是由于微软Windows中出现的一个漏洞而引起的.”