微軟重新發表MS06-042 IE安全更新

由於修補程式含有可能遭攻擊的漏洞，微軟則破例在本周四（8/24）重新再發表完整的MS06-042安全更新。

微軟在今年8月8日的定期更新中，針對8個IE漏洞推出了MS06-042安全更新，不過，之後不但有使用者發現部署該更新程式之後可能讓瀏覽器當掉，同時資安業者還警告該更新程式擁有可讓駭客攻擊的嚴重漏洞。

這個有瑕疵的安全更新引起了一些事端，先是更新後的使用者發現，如果瀏覽某些利用HTTP 1.1協定去壓縮網頁資料以加速圖片下載的網站時，IE就會當掉，同時，這些使用者也無法順利在IE上使用PeopleSoft、Siebel及Sage CRM等Web軟體。

微軟很快地就在8月11日提出另一更新程式修補該漏洞，當時微軟指出該漏洞會讓IE當掉，要求使用者自行下載更新。不過，資安業者eEye Digital Security卻在本周反駁微軟的說法，指出第一個MS06-042安全更新不僅會使IE當掉，還含有重大漏洞，可能導致緩衝區溢位，並讓駭客有機可趁。

微軟對eEye的舉動很不滿，因為微軟認為資安業者不應在還未推出修補程式時就公開漏洞，微軟甚至在最新安全通報中，把eEye自提供漏洞報告的名單中剔除；eEye則認為該公司並未說明漏洞細節，只是提醒使用者注意，還說微軟並未警告使用者該漏洞的危險性，eEye並強調駭客們早就知道這是個可用來攻擊的漏洞。

微軟表示，第一個MS06-042安全更新的漏洞影響Windows 2000 SP4及Windows XP SP1上的IE 6 SP1版本，並不影響Windows XP SP2。

微軟本來打算在本周二（8/22）重新發表完整的MS06-042安全通報，以讓視窗用戶能夠透過自動更新服務修補該問題。微軟說明因為該更新的最終測試發生問題，因此才延到周四。（編譯/陳曉莉）