微軟虛擬機軟件爆出漏洞，它能讓攻擊者繞過Windows安全設施進而攻擊應用程序中的公共漏洞，但微軟并沒有對這一漏洞采取修復行動。

這一虛擬機管理程序內存保護漏洞是由Core Security Technologies公司的攻擊研究專家測試發現的，微軟發言人周三表示他們并沒有準備修復該漏洞相應的緊急預案。

這位發言人在電子郵件中寫道：“Core公司的公告中所描述的操作可以輕易地為漏洞攻擊開放更簡單的渠道，那么該漏洞一定早已存在于系統之中，而不是一個新發現的獨立漏洞。我們沒有改變Windows虛擬機環境的計劃。微軟的確一直致力于穩固其軟件以減少安全問題的出現，并可能在質量達標之時將補丁部署到其中，為我們的客戶增值?！?/P>

Windows 7用戶能在XP模式下使用虛擬機技術運行與Windows 7不兼容的應用程序。Core Security Technologies公司的首席技術官Ivan Arce表示，這一內存分配錯誤使代碼出現漏洞，它通常會導致應用程序在物理機上終止，成為可攻擊的漏洞。

Arce說，該漏洞讓攻擊者能繞過數據執行保護（DEP）、安全異常處理（SafeSEH）以及地址空間布局隨機化(ASLR)，它們都是Windows系統中用來阻止惡意代碼在Windows內核上執行的一些安全措施。Arce沒有對微軟對此事的響應做出回應。

微軟發言人稱，只有運行在客戶虛擬機上的應用程序才會有安全風險。虛擬機的用戶應當遵從公共安全實踐，包括保證防火墻處于開啟狀態、反病毒軟件安裝到位并實時更新，并且所有的軟件都部署了最新的安全補丁。

這位微軟發言人表示：“攻擊者無法將運行多重虛擬機的整個主機完全控制住。Windows 7的桌面操作系統（DEP, ASLR, and SafeSEH等等）的保護措施還是很到位的?！?/P>

微軟Windows Client組主管Paul Cooke在本周早些時候發表博文稱，不應將虛擬機的這一問題稱為漏洞。

Cooke寫道：“Core公司發現的這一問題本身并不是一個真正的漏洞。相比物理機來說，Windows內核中的這一保護機制在虛擬機中并沒有那么有效。這不會引入漏洞，僅僅是缺失了一些安全保護機制?！? 

【編輯推薦】

1. 微軟2010年2月安全公告一次性發布13個安全補丁
2. 微軟17歲“高齡”無補丁老洞讓政府及企業內網陷入危機