喬治-古寧斯基(Georgi Guninski)今日發出安全警告，説微軟公司的Windows 2000和IE的最新版本中存在著安全漏洞。他説，他已確認存在著這樣的安全問題，當一些文件夾通過微軟的網路作為WEB頁供人瀏覽時，這種脆弱性就表現出來了。

    當網民使用Windows 98的IE 5.x時就會啟動一個能使未經授權的人控制該台電腦的文件夾。當一個人僅僅是在瀏覽一個本地或另地文件夾時也會出現這種情況，這與訪問WEB頁或HTML郵件時發生的脆弱性是很相似的。古寧斯基同時指出，系統管理員在Windows 2000的默認設置下瀏覽一個篡改的本地文件夾時可能會面臨損害的危險。但他同時指出這一問題並不影響通過防火牆打開文件夾的系統。

    古寧斯基説當作業系統瀏覽作為WEB頁的文件夾時就會出現這種問題，這種文件夾是由一個Folder.htt文件控制的，它就在文件夾內，是一種特殊的HTML文件，並可能包含著Active Scripting和ActiveX對象。一個惡意的程式員可以利用ActiveX來運作任意的文件，具有控制受害人電腦的能力。

    在第二種情況下，一個局部的系統管理員也可能在用Windows 2000瀏覽本地文件夾時成為類似的攻擊對象，Windows 2000根據默認的設置將文件夾作為WEB頁，從理論上講是為外人的利用打開了方便之門。

    微軟公司的安全官員斯科特-卡爾普説公司並沒有發現古寧斯基所説的安全問題，公司正在對這一問題進行調查。他説雖然現在對這一問題進行評價還為時過早，但是一些説法顯然是不合適的。首先，古寧斯基所説的脆弱性並不會在與IE 5.x有關的軟體設置中複製。他同時還對古寧斯宣稱的ActiveX問題提出質疑, ActiveX是微軟公司開發的桌面工具能使一個瀏覽器與其他的進行互相作用。古寧斯基已發現了微軟公司軟體的一系列安全問題，象今天所説的脆弱性等就與ActiveX有關。

    卡爾普説侵害一名系統管理員的情況是不確切的，他説需要實質地進入管理員的機器，並要修改機器上的文件夾，然後誘使管理員進入，再採取一些行動。但是大多數管理員使用的安全措施會排除這種可能性。

    他補充説微軟公司在安全問題上對用戶做出了莊嚴的承諾，並會做出積極的反應。公司的安全中心已處理了5000份安全報告，對其中的400起進行了徹底的調查，對55起做了善後處理。他説由於“我愛你”病毒的出現，公司立即對Outlook Express的安全性能進行了改進。

    鳳凰網站 2000.08.15