微軟忙於應付層出不窮的IE安全漏洞 微軟公司18日採取行動，設法修補微軟網頁瀏覽器的一個安全 漏洞，但另一種瑕疵卻又隨即冒了出來。 兩種問題都因該瀏覽軟體執行JavaScript而起。JavaScript是 一種文本描述（scripting）語言，由網景通訊公司 （Netscape Communications）所創。全球資訊網網站利用 這種技術指示造訪者的電腦作某些動作，不須經過造訪者的 輸入。文本描述語言的典型作用包括開啟彈跳式視窗，或是 捲動螢幕畫面。 文本描述語言的發明，對網頁設計師是一大福音，卻也讓偵蟲 專家忙得不亦樂乎。他們已發現許多方法迴避安全檢查措施， 展示惡意的網站管理者如何利用此技術，耍弄網站造訪者的 電腦。 其中一位偵蟲專家，保加利亞籍的Georgi Guninski，一年多 年就開始定期報告JavaScript的安全問題。雖然網景（如今 成為美國線上公司旗下的一個部門）的瀏覽軟體曾受Guninski 的檢視，但這幾個月來，微軟已變成Guninski主要的目標。 上週，微軟承認，網際網路探險家5.0版 （Internet Explorer 5.0）可能受Guninski所發現安全漏洞 的影響，以至於讓不懷好意的網站管理者偷窺網站造訪者的 電腦檔案。網站管理者可利用此瑕疵，迴避微軟的安檢措施 ，方法是在「框格」（frame）－－網站中的小型視窗－－ 裡執行文本描述程式，藉此逃避安全檢查。 微軟說，這種情況只能讓攻擊者偷看檔案，並更能加以篡改 或刪除。 微軟建議，IE4.01版的使用者使用IE4.01版的 service pack 2，IE5.0版使用者則可下載不同的修補程式， 視他們系統使用的是英特爾（Intel）平台，或是Alpha平台。 微軟一修補Guninski偵得的安全漏洞，這位臭蟲獵人又發現 新的瑕疵。第二種安全漏洞也能迴避瀏覽軟體的安全檢查， 這一回是藉著把使用者電腦內的檔案導向一個以 「javascript:」開頭的網址。在這種情況下，JavaScript 程式碼利用電腦檔案有限的安全性得以執行，允許檔案 傳輸到另一部電腦，讓網站管理人盜取檔案。 網站管理人也可利用這種瑕疵，啟動假冒的視窗。 微軟公司證實Guninski的發現屬實，並表示正研究修補程式。 在此之前，微軟建議使用者關掉IE內網際網路安全區的文本 描述功能。那將使那種腳本程式無法在所有的網站上執行， 除非使用者特別指定為可信任的網站，也就是使用者置於 「可信任」區的網站。 面臨一個接一個的瀏覽器安全漏洞，微軟挺身為其安全防衛 措施辯護。發言人聲稱，微軟對安全瑕疵非常重視，而且已 設有安全滲透測試小組，任務即是設法突破IE的安全防備， 以找出安全檢查的弱點。 微軟安全產品經理Scott Culp說：「安全總是一場旅程，而 不是一個終點站。我們始終在問題發生時致力矯正問題， 並且採取主動調查行動。我們會不斷研究因應對策，以提升 產品的安全性。」