據(jù)報(bào)告稱，43%的Microsoft XML用戶正在運(yùn)行存在漏洞的版本。在本文中，安全專家Michael Cobb探討了如何緩解這一風(fēng)險(xiǎn)。

近日有報(bào)道，Microsoft XML Core Services漏洞仍然是電腦用戶面臨的最大風(fēng)險(xiǎn)之一，超過43%的用戶正在運(yùn)行存在漏洞的版本。您能否解釋為什么這些問題依然存在以及緩解問題的最好方法呢？

Michael Cobb：Secunia在對(duì)2014年漏洞軟件的第二季度報(bào)告中指出，Microsoft XML Core Services 4.0 （MSXML）是美國電腦用戶面臨的最大風(fēng)險(xiǎn)?，F(xiàn)在有多種版本的MSXML，這也是4.0版本仍構(gòu)成風(fēng)險(xiǎn)的原因之一。MSXML 3.0和MSXML 6.0是Windows和IE的一部分，MSXML 5.0則安裝在Office 2003和2007中。而MSXML 4.0主要針對(duì)構(gòu)建以XML為中心的應(yīng)用的開發(fā)人員。這些應(yīng)用會(huì)悄然安裝MSXML 4.0作為附屬物，但在2014年4月以來，該版本不再受微軟支持，并不會(huì)收到任何進(jìn)一步的安全更新。

在美國，79%的電腦用戶安裝了MSXML 4.0，其中，43%仍然在運(yùn)行存在漏洞的MSXML 4.0 SP 2。為什么會(huì)這樣？與其他包含在微軟產(chǎn)品中的MSXML版本不同，MSXML 4.0獨(dú)立推出，并被定義為一個(gè)“工具”（幫助完成不同任務(wù)或一組有限任務(wù)的實(shí)用工具），因此它有著與一般微軟產(chǎn)品不同的支持生命周期。微軟認(rèn)為MSXML 4.0 SP3是與SP2完全不同的產(chǎn)品，它從來沒有被發(fā)布到自動(dòng)渠道，這意味著Windows Updates、WSUS和SCCM從來不會(huì)將用戶或企業(yè)從SP2自動(dòng)更新到SP3。

雖然最近沒有公開披露新的漏洞，但在SP2中存在未打補(bǔ)丁的漏洞。早在2010年微軟就已經(jīng)停止支持MSXML 4.0 SP2，正因?yàn)榇?，?012年7月微軟發(fā)布針對(duì)SP3的關(guān)鍵安全更新MS12-043（修復(fù)公開報(bào)道的遠(yuǎn)程代碼執(zhí)行漏洞）時(shí)，并沒有作為MSXML 4.0 SP2的更新，導(dǎo)致用戶未打補(bǔ)丁，易受到攻擊。

緩解MSXML 4.0風(fēng)險(xiǎn)的最好方法是檢查任何已安裝的應(yīng)用是否還需要它；如果不需要，卸載它。如果舊的應(yīng)用需要這個(gè)特定版本，聯(lián)系供應(yīng)商看看是否有升級(jí)路徑，因?yàn)檫\(yùn)行不受支持的軟件或附件并不是好的做法。

在最低限度的情況下，確保你從MSXML 4.0 SP2升級(jí)到SP3；請(qǐng)注意這需要手動(dòng)更新。然后，確保在下一個(gè)自動(dòng)更新后，安裝MS13-002和MS12-043補(bǔ)丁。如果企業(yè)的傳統(tǒng)軟件需要MSXML 4.0，企業(yè)應(yīng)該使用微軟的Enhanced Mitigation Experience Toolkit 5.0通過阻止MSXML 4.0在IE以及不屬于受信任站點(diǎn)或Intranet區(qū)域的網(wǎng)站中運(yùn)行，來緩解試圖利用SP2中未打補(bǔ)丁漏洞的潛在攻擊。