新发现的瑕疵利用「小田鼠」(Gopher)信息系统，一种几乎已被淘汰的因特网协议，自远程计算机窃夺数据。Gopher以阶层式结构显示信息，有如小田鼠一直往下钻洞，故得其名。Gopher只支持文字环境，在支持超文字传输协议(HTTP)的全球信息网(WWW)盛行后，大致上已消声匿迹。

芬兰安全公司Online Solutions在5月20日发现IE这个弱点，并于上周提醒民众。

但这个威胁的严重程度超出Online Solutions当初的预料。此安全漏洞也存在于微软的服务器软件。微软认为，这对使用IE 5.01、5.5和6.0版的客户端计算机，以及使用Proxy Server 2.0或ISA Server 2000的因特网或内部网络服务器，都构成重大威胁。

在11日晚间贴出的服务布告栏上，微软指出，旧版的服务器软件可能容易让黑客乘虚而入，而旧版的IE也可能受害。微软并不提供这些旧版软件的修补程序。

微软布告栏指出，问题出在「处理Gopher服务器回传信息的程序代码中，含有未经检查的缓冲区」。

尽管Gopher已乏人使用，但IE仍然支持这种旧式协议。黑客可能利用缓冲区溢满的臭虫，使客户端计算机受制于执行恶意程序的服务器，进而掌控那部计算机，随心所欲存取数据、拷贝档案或安装程序。

这个漏洞的问题之所以特别严重，是因为IE使用者不必连结上一部Gopher服务器也可能受害，只要在网页或内含超文字标示语言(HTML)的电子邮件植入程序代码，就可能把使用者的计算机重新导向Gopher服务器。

就服务器方面，影响可能更严重，因为黑客能够完全控制受害的服务器，例如把硬盘重新格式化，或篡改管理员登入服务器的账号密码，然后佯装成合法的使用者，存取各种功能或网络服务。

现成的安全环境设定可以阻挠或减轻这种威胁。布告栏说：「如果安全政策禁止使用者删除档案或更改安全设定，则黑客的程序代码也无技可施。」

但即便是最严格的安全设定，也可能不足以防止黑客发动攻击。微软举例说，把Outlook电子邮件设定设成「限制区」(Restricted Zone)的使用者，仍可能经由HTML电子邮件而受影响。

微软尚未提供新安全漏洞的修补程序，但已提供临时的补救方法。其中一种让服务器排除问题的解决方案，是封闭TCP 70端口的通道，即可阻挡Gopher协议的数据存取。

IE的使用者则必须费一番工夫，用手动方式拦阻Gopher通路。可试者到工具(Tools)选单，选取「连结」(Connections)项下的「局域网络(LAN)设定」，然后让原先打勾的 「自动侦测设定」框框变成空白，改为勾选「LAN使用Proxy服务器」的框格。在「进阶选项」下，确定解除勾选「所有协议皆使用相同的proxy服务器」这个框格。最后到Gopher 文字字段，在连接端口设定方块中，输入「localhost」和「1」。

微软11日公布的安全布告栏中，提供更深入的指示。

最新通报的安全漏洞，只是为微软近来一长串的安全问题再添一笔，尽管董事长盖兹元月时已通令公司上下加强安全防护。

上周，微软才发布网络应用软件工具ASP.NET的安全警戒。其它最近已知的微软产品安全瑕疵还包括：影响IE处理cookie档案的问题、IE cross-scripting臭虫、让黑客闯入MSN Messenger及Windows Messenger的缓冲区溢满问题、MSN Messenger聊天功能可能遭黑客侵入等等。 (翻译：唐慧文)

（编辑 ZDNet China 王丹）