微软日前对英国网络安全公司Computer Terrorism未等它来得及发布补丁便公布了IE浏览器上一个漏洞的细节的行为进行了批评。
Computer Terrorism周一公布了一个安全建议,并随之发布了概念验证性代码,演示IE上的一个安全漏洞如何被用来执行攻击代码。这种方法很可能被攻击者用来窃取对一个系统的控制权。
该漏洞此前被认为只会产生轻度的安全影响,但这个概念验证性代码促使安全公司Secunia将它的安全级别提高至“非常严重”。
在电脑安全领域,业内通行的做法是,在公布任何漏洞的细节之前,首先应给予销售商一定的时间以开发出相应的补丁。因为这些细节有可能被恶意软件作者所利用,从而给终端用户带来的安全威胁。
微软指责Computer Terrorism违反了这一通行的做法。“微软对某些安全研究人员违反这一做法非常失望。公布验证性代码有可能给电脑用户带来危害。”
但资深安全研究人员西蒙。鲁宾逊(Simon Robinson)争辩说,Computer Terrorism没有别的选择。IE的这个漏洞早在5月份就公布了,但那时它被认为只会造成轻度的安全威胁。
“它一开始就不应被认为是一个低级别的安全漏洞,”鲁宾逊说,“当初我们发现它可能被利用时,我们对其容易程度感到震惊。”
该公司试图通过公开其被利用的方法以警告用户他们正面临的威胁有多么的严重。“我们坚信它已被黑客普遍利用了。”
他强调该公司正在就此安全报告与微软对话,并表示该公司在其它情况下确实遵循了业界通行的做法。
Computer Terrorism报告的漏洞影响到充分打过补丁的运行IE的Windows操作系统。专家建议用户在访问不可靠网站时应关闭JavaScript,或者转而使用另外的浏览器,如Opera或Firefox.