安全机构Core Security Technologies日前表示，微软利用上月发布的补丁悄悄修复了三个安全漏洞，而且完全没有向系统管理员提供任何通知。Core安全技术公司发现的存在问题的补丁为MS10-024和MS10-028。

这两个安全补丁中共“无声”修复了三个漏洞，这些漏洞是微软内部发现的并没有公诸于众。Core安全技术公司以MS10-024为例说明了事情的严重性，以下是微软公布的信息：

“公告编号：MS10-024

知识库编号：KB981832

摘要：解决Exchange和Windows SMTP服务中一个公开披露的漏洞和一个秘密报告的漏洞。如果攻击者将特制的DNS响应发送到运行SMTP服务的计算机，其中最严重的漏洞可能允许拒绝服务。默认情况下，Windows Server 2003/Server 2003 x64/XP Professional x64上未安装SMTP组件。

通过更正SMTP分析MX记录的方式以及SMTP为解释SMTP命令响应而分配内存的方式，此安全更新解决了漏洞。

最高安全级别：重要

受影响范围：Windows 2000 SP4、Windows XP SP3/Server 2003 SP2/Server 2008 SP2的32/64位版本、Windows Server 2008 R2；Exchange Server 2000 SP3/2003 SP2/2007 SP2/2010”

Core安全技术人员Nicolás Economou发现该补丁还修复了存在于Windows SMTP服务和微软Exchange中的另外两个高危漏洞，攻击者能够用来假冒向Windows SMTP服务发送的任何DNS查询的回应。除了MS-024补丁中说明的拒绝服务攻击和信息泄露等影响之外，DNS回应欺骗和缓存染毒攻击还会导致其它各种安全影响。微软悄悄修复了这些漏洞，并没有在安全补丁公告中公布，而且没有提供漏洞标识符。

Core安全技术公司表示，微软隐瞒了这些漏洞会导致人们轻视MS10-024补丁的重要性，实际上，这个补丁远比微软描述的重要很多，因此建议没有安装此补丁的用户应当重新考虑安装。