Vista承諾與IE7安全左右夾擊微軟(轉)

Vista承諾與IE7安全左右夾擊微軟(轉)[@more@]　　出處：賽迪網

　　微軟公司（上）週五為外界認為其無誠意履行使Windows Vista與第三方安全軟體相容的保證的譴責進行了辯解。該公司還被迫與一個安全軟體公司進行了爭辯，後者宣稱微軟最新發布的Internet Explorer(IE) 7含有一個安全漏洞。

　　在Vista戰場，Gartner公司的分析員Neil MacDonald在週四的一份分析中表示，儘管微軟對於調整Vista的計劃是一個有利的行動，但是這一過程將經過幾年的時間，並且還會在短期內引出不相容的問題。

　　微軟並沒有直接談及Gartner的評估。但是微軟安全技術部副主管Ben Fathi所說的公司的目標是在Windows Vista SP1的開發期內提供一組初始的、備有文件的被支援的核心介面這一說法卻成了火上澆油。

　　在最近幾個月裡，微軟公司已經在盡力駁斥來自賽門鐵克公司和McAfee公司等安全軟體商的譴責，這些公司認為微軟正在以一種將把第三方安全產品拒之門外的做法開發Windows Vista。但是上週微軟屈服於來自安全軟體商和歐洲反壟斷官員的壓力，承諾將建立額外的API以使得與之競爭的軟體商可以訪問該作業系統的核心，並從而可以開發在這一作業系統上更有效地工作的產品。

　　Christopher Thomas是位於加州Santa Clara的McAfee公司的一位法律顧問。他於（上）週四發表了一份憤怒的宣告指責這一軟體巨人作出的是空洞的承諾。

　　Thomas說：“除了微軟公司的保證、新聞釋出會和講話外，消費者依賴以保護他們電腦的獨立安全軟體公司團體還沒有看到任何跡象表明微軟確實有意做到它上週作出的承諾。”

　　作為回應，Fathi對McAfee的宣告進行了駁斥，稱其是“不準確而具有煽動性的”。Fathi還補充道，微軟公司“已經採取了很多步驟來為McAfee和我們其他的安全夥伴提供他們所需要的資訊。”

　　對於允許第三方安全警告取代Windows安全中心警告這一短期問題，他說微軟週一已做好了可提供給安全夥伴的文件和例項程式碼。

　　他說：“應McAfee的要求，我們還在10月17日（週二）下午2:07向一位McAfee高階工程師傳送了一份電子版的材料。隨後我們在10月18日提供了具有這一功能的新的Windows Vista編譯版本，之後10月19日（週四）中午我們與McAfee職員進行了電話會議以回答任何其他的問題。”

　　軟體巨人微軟在對McAfee的宣告進行辯護以外，還被迫對來自丹麥的漏洞資訊交換所Secunia的指責進行了反駁，後者稱新發布的IE 7具有一個安全漏洞。

　　Secunia在一份報告中說，這一漏洞由處理具有“mhtml:" URI handler的URL重定向過程中的一個錯誤所引起。該公司說，攻擊者利用這一問題可以獲得敏感資訊。不過它認為這一漏洞是“非最嚴重的”。

　　微軟安全響應中心的Christopher Budd在公司blog上說，IE7沒有漏洞。Secunia警告的這一問題事實上是Outlook Express中的一個漏洞。

　　他說：“這些報告中所討論的問題並不是IE7或是其他任何版本中的，而是在另一個Windows元件中，更具體地說是在Outlook Express的一個元件中。儘管我們已經得知這一問題被公開，還沒有資訊表明它已經被用於針對使用者的任何攻擊中。”

　　他說微軟將繼續進行調查。

　　微軟公司本週在一個很長的beta測試過程後釋出了IE7。這一軟體巨人一直吹捧該瀏覽器顯著增強的安全性，包括其中的反網路釣魚功能。