近日有报道，Microsoft XML Core Services漏洞仍然是电脑用户面临的最大风险之一，超过43%的用户正在运行存在漏洞的版本。您能否解释为什么这些问题依然存在以及缓解问题的最好方法呢?

[[126303]]

Michael Cobb：Secunia 在对2014年漏洞软件的第二季度报告中指出，Microsoft XML Core Services 4.0 (MSXML)是美国电脑用户面临的最大风险。现在有多种版本的MSXML，这也是4.0版本仍构成风险的原因之一。MSXML 3.0和MSXML 6.0是Windows和IE的一部分，MSXML 5.0则安装在Office 2003和2007中。而MSXML 4.0主要针对构建以XML为中心的应用的开发人员。这些应用会悄然安装MSXML 4.0作为附属物，但在2014年4月以来，该版本不再受微软支持，并不会收到任何进一步的安全更新。

在美国，79%的电脑用户安装了MSXML 4.0，其中，43%仍然在运行存在漏洞的MSXML 4.0 SP 2。为什么会这样?与其他包含在微软产品中的MSXML版本不同，MSXML 4.0独立推出，并被定义为一个“工具”(帮助完成不同任务或一组有限任务的实用工具)，因此它有着与一般微软产品不同的支持生命周期。微软认为 MSXML 4.0 SP3是与SP2完全不同的产品，它从来没有被发布到自动渠道，这意味着Windows Updates、WSUS和SCCM从来不会将用户或企业从SP2自动更新到SP3。

虽然最近没有公开披露新的漏洞，但在SP2中存在未打补丁的漏洞。早在2010年微软就已经停止支持MSXML 4.0 SP2，正因为此，在2012年7月微软发布针对SP3的关键安全更新MS12-043(修复公开报道的远程代码执行漏洞)时，并没有作为MSXML 4.0 SP2的更新，导致用户未打补丁，易受到攻击。

缓解MSXML 4.0风险的最好方法是检查任何已安装的应用是否还需要它;如果不需要，卸载它。如果旧的应用需要这个特定版本，联系供应商看看是否有升级路径，因为运行不受支持的软件或附件并不是好的做法。

在最低限度的情况下，确保你从MSXML 4.0 SP2升级到SP3;请注意这需要手动更新。然后，确保在下一个自动更新后，安装MS13-002和MS12-043补丁。如果企业的传统软件需要 MSXML 4.0，企业应该使用微软的Enhanced Mitigation Experience Toolkit 5.0通过阻止MSXML 4.0在IE以及不属于受信任站点或Intranet区域的网站中运行，来缓解试图利用SP2中未打补丁漏洞的潜在攻击。