微軟虛擬機(jī)軟件爆出漏洞，它能讓攻擊者繞過(guò)Windows安全設(shè)施進(jìn)而攻擊應(yīng)用程序中的公共漏洞，但微軟并沒(méi)有對(duì)這一漏洞采取修復(fù)行動(dòng)。

這一虛擬機(jī)管理程序內(nèi)存保護(hù)漏洞是由Core Security Technologies公司的攻擊研究專家測(cè)試發(fā)現(xiàn)的，微軟發(fā)言人周三表示他們并沒(méi)有準(zhǔn)備修復(fù)該漏洞相應(yīng)的緊急預(yù)案。

這位發(fā)言人在電子郵件中寫道：“Core公司的公告中所描述的操作可以輕易地為漏洞攻擊開放更簡(jiǎn)單的渠道，那么該漏洞一定早已存在于系統(tǒng)之中，而不是一個(gè)新發(fā)現(xiàn)的獨(dú)立漏洞。我們沒(méi)有改變Windows虛擬機(jī)環(huán)境的計(jì)劃。微軟的確一直致力于穩(wěn)固其軟件以減少安全問(wèn)題的出現(xiàn)，并可能在質(zhì)量達(dá)標(biāo)之時(shí)將補(bǔ)丁部署到其中，為我們的客戶增值?！?/P>

Windows 7用戶能在XP模式下使用虛擬機(jī)技術(shù)運(yùn)行與Windows 7不兼容的應(yīng)用程序。Core Security Technologies公司的首席技術(shù)官Ivan Arce表示，這一內(nèi)存分配錯(cuò)誤使代碼出現(xiàn)漏洞，它通常會(huì)導(dǎo)致應(yīng)用程序在物理機(jī)上終止，成為可攻擊的漏洞。

Arce說(shuō)，該漏洞讓攻擊者能繞過(guò)數(shù)據(jù)執(zhí)行保護(hù)（DEP）、安全異常處理（SafeSEH）以及地址空間布局隨機(jī)化(ASLR)，它們都是Windows系統(tǒng)中用來(lái)阻止惡意代碼在Windows內(nèi)核上執(zhí)行的一些安全措施。Arce沒(méi)有對(duì)微軟對(duì)此事的響應(yīng)做出回應(yīng)。

微軟發(fā)言人稱，只有運(yùn)行在客戶虛擬機(jī)上的應(yīng)用程序才會(huì)有安全風(fēng)險(xiǎn)。虛擬機(jī)的用戶應(yīng)當(dāng)遵從公共安全實(shí)踐，包括保證防火墻處于開啟狀態(tài)、反病毒軟件安裝到位并實(shí)時(shí)更新，并且所有的軟件都部署了最新的安全補(bǔ)丁。

這位微軟發(fā)言人表示：“攻擊者無(wú)法將運(yùn)行多重虛擬機(jī)的整個(gè)主機(jī)完全控制住。Windows 7的桌面操作系統(tǒng)（DEP, ASLR, and SafeSEH等等）的保護(hù)措施還是很到位的。”

微軟Windows Client組主管Paul Cooke在本周早些時(shí)候發(fā)表博文稱，不應(yīng)將虛擬機(jī)的這一問(wèn)題稱為漏洞。

Cooke寫道：“Core公司發(fā)現(xiàn)的這一問(wèn)題本身并不是一個(gè)真正的漏洞。相比物理機(jī)來(lái)說(shuō)，Windows內(nèi)核中的這一保護(hù)機(jī)制在虛擬機(jī)中并沒(méi)有那么有效。這不會(huì)引入漏洞，僅僅是缺失了一些安全保護(hù)機(jī)制。”  

【編輯推薦】

1. 微軟2010年2月安全公告一次性發(fā)布13個(gè)安全補(bǔ)丁
2. 微軟17歲“高齡”無(wú)補(bǔ)丁老洞讓政府及企業(yè)內(nèi)網(wǎng)陷入危機(jī)