微軟虛擬機軟件爆出漏洞，它能讓攻擊者繞過Windows安全設(shè)施進而攻擊應(yīng)用程序中的公共漏洞，但微軟并沒有對這一漏洞采取修復(fù)行動。

這一虛擬機管理程序內(nèi)存保護漏洞是由Core Security Technologies公司的攻擊研究專家測試發(fā)現(xiàn)的，微軟發(fā)言人周三表示他們并沒有準備修復(fù)該漏洞相應(yīng)的緊急預(yù)案。

這位發(fā)言人在電子郵件中寫道：“Core公司的公告中所描述的操作可以輕易地為漏洞攻擊開放更簡單的渠道，那么該漏洞一定早已存在于系統(tǒng)之中，而不是一個新發(fā)現(xiàn)的獨立漏洞。我們沒有改變Windows虛擬機環(huán)境的計劃。微軟的確一直致力于穩(wěn)固其軟件以減少安全問題的出現(xiàn)，并可能在質(zhì)量達標之時將補丁部署到其中，為我們的客戶增值。”

Windows 7用戶能在XP模式下使用虛擬機技術(shù)運行與Windows 7不兼容的應(yīng)用程序。Core Security Technologies公司的首席技術(shù)官Ivan Arce表示，這一內(nèi)存分配錯誤使代碼出現(xiàn)漏洞，它通常會導(dǎo)致應(yīng)用程序在物理機上終止，成為可攻擊的漏洞。

Arce說，該漏洞讓攻擊者能繞過數(shù)據(jù)執(zhí)行保護（DEP）、安全異常處理（SafeSEH）以及地址空間布局隨機化(ASLR)，它們都是Windows系統(tǒng)中用來阻止惡意代碼在Windows內(nèi)核上執(zhí)行的一些安全措施。Arce沒有對微軟對此事的響應(yīng)做出回應(yīng)。

微軟發(fā)言人稱，只有運行在客戶虛擬機上的應(yīng)用程序才會有安全風(fēng)險。虛擬機的用戶應(yīng)當(dāng)遵從公共安全實踐，包括保證防火墻處于開啟狀態(tài)、反病毒軟件安裝到位并實時更新，并且所有的軟件都部署了最新的安全補丁。

這位微軟發(fā)言人表示：“攻擊者無法將運行多重虛擬機的整個主機完全控制住。Windows 7的桌面操作系統(tǒng)（DEP, ASLR, and SafeSEH等等）的保護措施還是很到位的。”

微軟Windows Client組主管Paul Cooke在本周早些時候發(fā)表博文稱，不應(yīng)將虛擬機的這一問題稱為漏洞。

Cooke寫道：“Core公司發(fā)現(xiàn)的這一問題本身并不是一個真正的漏洞。相比物理機來說，Windows內(nèi)核中的這一保護機制在虛擬機中并沒有那么有效。這不會引入漏洞，僅僅是缺失了一些安全保護機制。”  

【編輯推薦】

1. 微軟2010年2月安全公告一次性發(fā)布13個安全補丁
2. 微軟17歲“高齡”無補丁老洞讓政府及企業(yè)內(nèi)網(wǎng)陷入危機