一家以色列网络应用公司提醒微软Internet Explorer使用者，已发现IE潜在九种安全漏洞，可能被不怀好意的骇客用来窃取受害者的计算机档案。  

GreyMagic Software 22日说，这九种安全缺口之中，八种被视为危急的瑕疵，可能让骇客经由特别编码的网页诱引使用者上钩，进而在受害者的计算机上执行恶意程序。

GreyMagic研发部主任Lee Dagon说：“利用这些瑕疵，并结合其它已知能悄悄传送档案的瑕疵，可能造成客户端计算机完全遭到控制。”

除了让网络破坏者窃取私人计算机中储放的档案外，新发现的这批安全漏洞也能让恶意的骇客复制剪贴簿上的数据、执行任意植入的程序，并瞒骗IE使用者把恶意网站设定为信任网站。

GreyMagic指出，Internet Explorer 5.5版和6.0版都受新安全漏洞影响，不过，安装最新IE更新套件（service packs）者，即可亡羊补牢。

被揪出的新臭虫潜伏在Internet Explorer抓取全球信息网（Web）对象的过程中。Dagon说，GreyMagic是在本月上旬研究Internet Explorer三种不同面向的对象模型时，发现新的瑕疵。

其中七种瑕疵可让骇客长驱直入受害者的个人计算机，另外一种安全漏洞让骇客能读取内存加载的档案内容，最后一种瑕疵让骇客读取和写入剪贴簿上的讯息。

“骇客必须得知档案的名称和确切路径，”Dagon说。他指出，这些安全漏洞并不会让骇客浏览受害者机器上的文件名称。但是，“Windows若干重要档案都置于相对固定的路径，所以可能被抓取并利用，对受害者不利”。例如，Windows的密码文件在每部Windows计算机上的存放位置都一样，骇客可能利用这些瑕疵加以拷贝。

GreyMagic说，将Internet Explorer 5.5升级到Service Pack 2，即可堵住此安全漏洞，用Service Pack 1也可修补Internet Explorer 6的这些瑕疵。这两种IE版本的最新更新套件在微软的Windows更新网页上都找得到。

瑕疵通报有瑕疵？

GreyMagic Software通知微软公司上述瑕疵的同时，也把消息公诸于世，声称以往曾“提早通知微软，等他们修补安全漏洞......但却等不到结果”。

由于微软直到22日才得知新安全漏洞的消息，软件巨人无法证实确有此事。但GreyMagic Software提供的测试和展示程序代码显示，这些瑕疵似乎是千真万确。

但这家以色列公司拒绝先知会一声，引起微软的愤怒。微软代表透过电子邮件向CNET News.com表示：“我们对这起通报的处理方式表示关切。公开此讯息可能置计算机使用者于危险境地──或至少可能造成无谓的困惑和不安。”

过去一年多来，微软致力于约束安全瑕疵的公布行为，对该公司所谓不负责任的瑕疵公告大肆批评，并赞助成立一个明订瑕疵揭露准则的组织。

以往软件制造商对安全问题的反应迟钝，但情况逐渐改观。大多数研究员依然相信，发布瑕疵讯息是提醒大众注意的最佳途径。但同一批研究员也体认到，给软件开发商充分的时间提供修补程序，是因应这类事件更负责的处理方式。

至于多长的时间才算充分，各界诠释不同，从数日到数月不等。

Dagon说，以前通知微软，必须等上三个月甚至超过六个月后，软件巨人才发布修补程序。久而久之，GreyMagic已失去耐性。

“连最简单的安全问题，微软也要磨磳许久，任凭使用者暴露于危险之中长达数月之久，而不告知他们暂时的补救之道。”Dagon说。

但微软不是唯一对GreyMagic这样片面发布瑕疵警告表示关切的公司。安全公司Internet Security Systems将Apache Web server重大安全瑕疵公诸于世之前数小时，才通知此软件的开发社群，也引起开放源代码界的不满。