據報告稱，43%的Microsoft XML用戶正在運行存在漏洞的版本。在本文中，安全專家Michael Cobb探討了如何緩解這一風險。

近日有報道，Microsoft XML Core Services漏洞仍然是電腦用戶面臨的最大風險之一，超過43%的用戶正在運行存在漏洞的版本。您能否解釋為什么這些問題依然存在以及緩解問題的最好方法呢？

Michael Cobb：Secunia在對2014年漏洞軟件的第二季度報告中指出，Microsoft XML Core Services 4.0 （MSXML）是美國電腦用戶面臨的最大風險。現在有多種版本的MSXML，這也是4.0版本仍構成風險的原因之一。MSXML 3.0和MSXML 6.0是Windows和IE的一部分，MSXML 5.0則安裝在Office 2003和2007中。而MSXML 4.0主要針對構建以XML為中心的應用的開發人員。這些應用會悄然安裝MSXML 4.0作為附屬物，但在2014年4月以來，該版本不再受微軟支持，并不會收到任何進一步的安全更新。

在美國，79%的電腦用戶安裝了MSXML 4.0，其中，43%仍然在運行存在漏洞的MSXML 4.0 SP 2。為什么會這樣？與其他包含在微軟產品中的MSXML版本不同，MSXML 4.0獨立推出，并被定義為一個“工具”（幫助完成不同任務或一組有限任務的實用工具），因此它有著與一般微軟產品不同的支持生命周期。微軟認為MSXML 4.0 SP3是與SP2完全不同的產品，它從來沒有被發布到自動渠道，這意味著Windows Updates、WSUS和SCCM從來不會將用戶或企業從SP2自動更新到SP3。

雖然最近沒有公開披露新的漏洞，但在SP2中存在未打補丁的漏洞。早在2010年微軟就已經停止支持MSXML 4.0 SP2，正因為此，在2012年7月微軟發布針對SP3的關鍵安全更新MS12-043（修復公開報道的遠程代碼執行漏洞）時，并沒有作為MSXML 4.0 SP2的更新，導致用戶未打補丁，易受到攻擊。

緩解MSXML 4.0風險的最好方法是檢查任何已安裝的應用是否還需要它；如果不需要，卸載它。如果舊的應用需要這個特定版本，聯系供應商看看是否有升級路徑，因為運行不受支持的軟件或附件并不是好的做法。

在最低限度的情況下，確保你從MSXML 4.0 SP2升級到SP3；請注意這需要手動更新。然后，確保在下一個自動更新后，安裝MS13-002和MS12-043補丁。如果企業的傳統軟件需要MSXML 4.0，企業應該使用微軟的Enhanced Mitigation Experience Toolkit 5.0通過阻止MSXML 4.0在IE以及不屬于受信任站點或Intranet區域的網站中運行，來緩解試圖利用SP2中未打補丁漏洞的潛在攻擊。