微软DNS的漏洞久为人所知，对于研究者们更是再熟悉不过了安全专家们说到，这个问题至少可以追溯到十年前。

　　微软上星期二修补的DNS缓存中毒漏洞本来是从一个缺陷发展而成的。然而，至少10年前研究者们就了解到这个缺陷。两个报道相关弱点的安全公司在这周说到。

　　微软修补包括Windows 2000 Server和Windows Server 2003在内的域名系统(DNS)服务器，以求修正被称为电子欺骗的缺陷。这个缺陷可以使得身份认证盗窃者或恶意软件得逞，从而在用户不知不觉的情况下将原定的网络目标改写为恶意的冒充目标。

　　隔天，这两个被微软认可的安全公司分别报道了这个漏洞，它们在Brussels和Belgium的Scanit NV/SA和Tel Aviv的Trusteer Ltd.上发表了分析。Scanit和Trusteer提到，关键问题是Windows域名系统(DNS)服务器会产生可预知的事务身份标识(ID)，这样安全识别就难以阻止电子欺骗和缓存中毒的发生。因为事务身份标识(ID)被预知，那么攻击者就可以蒙骗域名服务器，让它认为那些假的DNS数据是合法的。

　　事实上，Trusteer曾通过发布概念验证脚本来表明预知事务身份标识(ID)是多么容易的一件事。这个概念验证脚本只需一个有效ID便可得知其余八个ID。“这是一个强大的脚本，而且它必定能使许多公开的微软DNS服务器缓存中毒，”Symantec公司对它DeepSight预警网络的客户提醒到。

　　Scanit也将它们自己的概念验证代码添加上，这些代码会不断涌进一个基于网络的DNS事务ID分析器。

　　Trusteer和Scanit都指出，这个弱点已经备受关注，并且至少十年前就已经被广泛地证明过。“我们难过地意识到，这个由可预知的DNS事务身份标识(ID)所带来的存在危险，在被发现的10到15年后，仍然是其中一个最受关注的不能合并强壮的事务身份标识(ID)发生器的DNS缓存服务器。”Amit Klein，Trusteer首席技术官，在他的分析中说到。“特别奇怪的是，微软Windows DNS服务器所用的事务身份标识(ID)机制竟然不是基于工业级密码算法的。”

　　与此同时，Scanit的Alla Bezroutchko，撰写她公司分析文章的高级安全工程师，用例子说明了这个已经是“普遍而且被广泛研究过”的问题。她列出1997、2002和2003年内，在最广泛用到的域名服务器软件——伯克利因特网名称域(Berkeley Internet Name Domain ，BIND)里进行的可预知DNS事务身份标识(ID)研究。从历史的角度上看，伯克利因特网名称域(BIND)一直在随机生成事务身份标识(ID)上存在问题。例如，在Klein报道过最新的弱点之后，它最近在六月份又加了补丁。当时，互联网系统协会(Internet Systems Consortium Inc.)，支持伯克利因特网名称域(BIND)的非营利机构，发布了更新，并且建议所有名字服务器装上补丁。

　　但当伯克利因特网名称域(BIND)进行更新以使预知不能执行时，Windows DNS服务器却仍然对过时攻击没有防备，Klein说到。“‘经典’的DNS中毒攻击仍然适用于Windows DNS服务器，而且比起其他之前提到过的对Windows DNS的攻击都要有效得多。”，他在的报告中提到。

　　这就使得其他研究者不能理解，为什么在大量信息表明微软的DNS服务器存在问题的时候，微软DNS却一直无动于衷。“除此以外，还有更多需要解答的问题，”Andrew Storms，nCircle公司的安全操作主任说到。“为什么微软DNS还会受一个如此著名，而且可以追溯到1997年的攻击的影响?”

　　当问到这个问题的时候，微软的回答就有点拐弯抹角。“当Windows成熟起来的同时微软会作出改进，”一个公司发言人在一份邮件中说到。“另外，微软已经对研究者的发现作出了回应。”

　　Storms还关心到补丁的发布时间，根据Scanit提到，这个补丁在报道弱点之后一年多才出现。“为什么要一年的时间?”Storms问到。Scanit在2006年10月24日告知微软，而Trusteer在六个多月以后，即2007年4月30日时发布它的发现。

　　微软发言人对于这12个月的时间作出了辩护，他说到当Scanit“报道DNS事务身份标识(ID)会出现可预知行为的时候……他们的发现是还没有确定的。”只有在它得到“额外信息”之后——大概应该是Trusteer的报告——它才“重新估量这个危险环境”。

　　讽刺的是，DNS补丁原本是定为上个月的一个更新的，但是微软在众人期待的10月9日版本发行前数天抽走了这个更改。事实上Klein的分析中就将此列为它的揭发日。微软没有对10月份抽走更改的做法作出合理的解释。