Windows DNS漏洞补丁误杀防火墙

来源：中国IT实验室作者：佚名出处：巧巧读书 2008-07-13 进入讨论组

据国外媒体Beatnews报道，为了修复全球互联网DNS漏洞微软近日发布了一个关键补丁，不过该补丁会影响软件防火墙的某些功能。

据Beatnews称，近日已经有多名用户报告，在安装了微软的KB951748补丁后，系统无法再与互联网通信。该补丁在操作系统处理DNS请求方面做出了重大修改。特别值得一提的是，它实现了一个支持随机选择源端口的系统，利用这个安全措施来阻挡恶意用户伪造错误的DNS响应，以防止它们攻击DNS服务器。

最近曝出的互联网DNS漏洞影响非常广泛，不仅仅影响Windows，Linux同样也不能幸免，而且像路由器和其它网络设备也同样受该漏洞影响。尽管多家厂商已经联合为此发布了安全补丁，但是明显由于在软件厂商之间缺乏沟通，该补丁带来一些负面的影响，当安装了该补丁后，某些软件防火墙会被禁用或关闭。

根据BetaNews的测试，其在一个虚拟机上安装了Windows XP Professional SP3操作系统，并在上面安装了防火墙ZoneAlarm最新的商业版（版本号为7.0.470），最初互联网连接非常正常。然后通过Windows更新安装了KB951748补丁，安装完成后重新启动了该虚拟机，然后无论是浏览器还是互联网工具都再无法连接到互联网上。甚至在虚拟系统的命令行中Ping命令也无法正常使用。

不过，在虚拟系统和其它本地网络中其它物理系统之间的连接并不受该补丁的影响。

修复这个问题也并不麻烦，在将ZonAlarm Pro的默认互联网区域安全设置从高改为中后，用户就可以通过Web浏览器中重新恢复与互联网的连接。但是命令行中的Ping依然无法使用，每次返回的结果都是超时（time out）。

来自ZoneAlarm在线论坛上的用户也报告了这种现象，其中包括两名系统管理员，他们在卸载了微软的这个补丁后，恢复了他们系统的网络正常连接，但是网络恢复正常后，自动更新又自动重新安装了这个补丁。其中已经用户表示，这个问题很多客户已经碰到，是一个普遍存在的问题，而非个案情况。

ZoneAlarm的父公司CheckPoint软件公司近日发布了一个公告称，该公司的产品已经提供了对任何DNS问题的防护，并建议它的企业客户暂时不要立即部署这一补丁。