近日有報道，Microsoft XML Core Services漏洞仍然是電腦用戶面臨的最大風(fēng)險之一，超過43%的用戶正在運行存在漏洞的版本。您能否解釋為什么這些問題依然存在以及緩解問題的最好方法呢?

Michael Cobb：Secunia 在對2014年漏洞軟件的第二季度報告中指出，Microsoft XML Core Services 4.0 (MSXML)是美國電腦用戶面臨的最大風(fēng)險?，F(xiàn)在有多種版本的MSXML，這也是4.0版本仍構(gòu)成風(fēng)險的原因之一。MSXML 3.0和MSXML 6.0是Windows和IE的一部分，MSXML 5.0則安裝在Office 2003和2007中。而MSXML 4.0主要針對構(gòu)建以XML為中心的應(yīng)用的開發(fā)人員。這些應(yīng)用會悄然安裝MSXML 4.0作為附屬物，但在2014年4月以來，該版本不再受微軟支持，并不會收到任何進一步的安全更新。

在美國，79%的電腦用戶安裝了MSXML 4.0，其中，43%仍然在運行存在漏洞的MSXML 4.0 SP 2。為什么會這樣?與其他包含在微軟產(chǎn)品中的MSXML版本不同，MSXML 4.0獨立推出，并被定義為一個“工具”(幫助完成不同任務(wù)或一組有限任務(wù)的實用工具)，因此它有著與一般微軟產(chǎn)品不同的支持生命周期。微軟認為 MSXML 4.0 SP3是與SP2完全不同的產(chǎn)品，它從來沒有被發(fā)布到自動渠道，這意味著Windows Updates、WSUS和SCCM從來不會將用戶或企業(yè)從SP2自動更新到SP3。

雖然最近沒有公開披露新的漏洞，但在SP2中存在未打補丁的漏洞。早在2010年微軟就已經(jīng)停止支持MSXML 4.0 SP2，正因為此，在2012年7月微軟發(fā)布針對SP3的關(guān)鍵安全更新MS12-043(修復(fù)公開報道的遠程代碼執(zhí)行漏洞)時，并沒有作為MSXML 4.0 SP2的更新，導(dǎo)致用戶未打補丁，易受到攻擊。

緩解MSXML 4.0風(fēng)險的最好方法是檢查任何已安裝的應(yīng)用是否還需要它;如果不需要，卸載它。如果舊的應(yīng)用需要這個特定版本，聯(lián)系供應(yīng)商看看是否有升級路徑，因為運行不受支持的軟件或附件并不是好的做法。

在最低限度的情況下，確保你從MSXML 4.0 SP2升級到SP3;請注意這需要手動更新。然后，確保在下一個自動更新后，安裝MS13-002和MS12-043補丁。如果企業(yè)的傳統(tǒng)軟件需要 MSXML 4.0，企業(yè)應(yīng)該使用微軟的Enhanced Mitigation Experience Toolkit 5.0通過阻止MSXML 4.0在IE以及不屬于受信任站點或Intranet區(qū)域的網(wǎng)站中運行，來緩解試圖利用SP2中未打補丁漏洞的潛在攻擊。