URI安全问题引多方关注 微软近日澄清

　　URI（通用资源标志符）日前引起业内多方关注，微软的安全小组近日阐释他们在补丁策略上是如何保证用户及时更新补丁，如何为用户安全着想……

【IT专家网独家】微软昨天澄清了关于对Windows XP 和Server 2003的漏洞补丁的计划，但是微软方面称，它们并不打算检查操作系统的协议操作技术。

　　微软安全应急中心(Microsoft Security Response Center MSRC)的Mark Miller和MSRC的操作系统经理Mike Reavey向记者证实说，现在公众对于运行Internet Explorer 7的Windows XP 和Server 2003操作系统在补丁方面的策略理解存在错误。

　　"有2个不同的问题，"Miller说，它指的是目前为业界广为关注的Windows的URI(通用资源标志符Universal Resource Identifier, 简称"URI")漏洞安全问题。这一问题最早是在六月发现的，但是7月的时候引起人们的重视。Miller说，"六月发现的这一问题实际上是与协议操作相关的，准确的说是指第三方应用软件怎么样处理这一问题。"

　　从4个月前开始，研究者发现在Windows上运行的一些应用程序存在漏洞，譬如Apple公司的Safari。此外Mozilla公司的火狐浏览器会追溯到Windows的协议操作，这一技术会允许浏览器通过URL命令运行其它程序，7月份，人们开始大量批评微软，因为一些研究者称微软应该为所有这些漏洞负责，这些漏洞可能会导致计算机被劫持。与之针锋相对的是，微软的支持者说，那些应用程序应该被清理--从而保证URI不允许未经授权的输入--经过操作系统的URL地址。

　　"问题的答案要么是，要么是否，" Reaver说道。 当被问及微软是否应该为补丁负责时，他说，当协议处理器是微软授权注册的话，微软就一定会承担责任，会实时提供补丁，但是由第三方认可的协议处理器的漏洞与微软无关。

　　目前最普遍的协议，譬如说Mailto(电子邮件协议)：在用户点击一个Mailto协议链接之后，它会有一个默认的邮件用户 并且会改写收信人的地址，而这一链接是属于微软的。