漏洞报告致谢 - 80SEC
致谢:80SEC
- 报告反映问题
2008年底报告,使用特定脚本可以检测本地文件系统上的特定文件是否存在。
- 分析结果
该问题是安全问题,过去我们收到过类似的报告,考虑到影响有限,没有发布安全公告,此问题最终将在IE下个版本或SP中修复。
- 响应说明
该问题由于IE引用外源文件时错误处理不慎导致。在Vista下IE 7/8默认开启保护模式,可以缓解此问题带来的影响。
顺带解释一下“为什么微软的补丁需要半年甚至更久才能发布?MS08-078不是只用了8天吗?”
这是由流程决定的。简单的说,常规每月第二个周二发布的公告,属于“计划调控”,在六个月甚至更长的时间前已经“计划好”发布,OOB(Out of Band)的公告如078,属于“市场调控”。为什么不废除计划调控?首先是尽可能确保发布的质量(否则030的错误可能很常见),其次是合理分配涉及产品类型、公告修复的缺陷类型以减少企业用户补丁管理成本。
By Idler@China MSRC
热点事件+热点XML 0day = 好奇害死猫(图非Live被挂马)
