不滿微軟動(dòng)作的遲緩，獨(dú)立安全公司eEye推出了針對(duì)Windows中一個(gè)導(dǎo)致系統(tǒng)崩潰—重啟－崩潰漏洞的臨時(shí)補(bǔ)丁。但微軟并不建議應(yīng)用這些第三方補(bǔ)丁。

　　這個(gè)隱患由動(dòng)畫光標(biāo)文件中的緩存溢出問題引起。早在2005年初就發(fā)現(xiàn)了一個(gè)類似的漏洞，但不會(huì)明顯的影響Windows XP SP2。而這個(gè)由McAfee的Avert實(shí)驗(yàn)室發(fā)現(xiàn)的新問題就明顯會(huì)威脅到XP SP2和Vista，還有Windows 2000 SP4和Windows Server 2003從最初版本到SP1的都不例外。

　　Avert實(shí)驗(yàn)室已經(jīng)把這個(gè)事件的視頻公布到Y(jié)ouTube上，視頻演示了在Vista系統(tǒng)中測(cè)試的文件嘗試加載定制的動(dòng)畫光標(biāo)。當(dāng)系統(tǒng)檢測(cè)到崩潰后，它首先會(huì)保存關(guān)鍵的數(shù)據(jù)再進(jìn)入重啟階段，這是Vista的新功能之一。接著系統(tǒng)告知用戶，Windows Explorer已經(jīng)崩潰。

　　eEye表示，它提供的臨時(shí)補(bǔ)丁能夠防止漏洞被利用，但并不能解決根本的問題。

　　微軟方面，它在上周末表示已經(jīng)啟動(dòng)了軟件安全事故響應(yīng)程序，并推出了相應(yīng)的安全公告。微軟表示，在郵件中嵌入惡意的動(dòng)畫光標(biāo)會(huì)觸發(fā)惡意攻擊。

　　利用這個(gè)隱患的最有效方法是在HTML頁面中嵌入.ANI文件。這樣做就可以以最低限度的用戶交互需求來發(fā)動(dòng)攻擊，攻擊者只需欺騙用戶點(diǎn)擊某個(gè)超級(jí)連接并瀏覽相應(yīng)的惡意網(wǎng)站就能發(fā)動(dòng)攻擊。由于微軟的Office應(yīng)用程序也依賴于相同的.ANI處理代碼，所以帶有Office格式附近的電子郵件也可能是一起潛在的威脅。

　　微軟也承認(rèn)Outlook Express的用戶會(huì)受到影響，就算禁止了HTML郵件。而Outlook 2007的用戶則安全的多，因?yàn)閃indows Mail用戶所在的是Vista系統(tǒng)，但前提是用戶不要回復(fù)或轉(zhuǎn)發(fā)這些惡意郵件。

eEye站點(diǎn)

　　eEye的補(bǔ)丁可以從其網(wǎng)站下載。微軟還沒有透露何時(shí)推出修復(fù)補(bǔ)丁。微軟將在本月10號(hào)推出每月周二補(bǔ)丁，取決于問題的嚴(yán)重程度，微軟可能會(huì)推出一個(gè)反周期的補(bǔ)丁。