目前�,大約有40種不同的Windows應(yīng)用程序中包含一種高危漏洞,它可以讓攻擊者劫持用戶(hù)的電腦并讓它們感染惡意軟件�����。
四個(gè)月前����,蘋(píng)果公司曾經(jīng)對(duì)Windows操作系統(tǒng)中使用的iTunes軟件中所包含的這個(gè)漏洞進(jìn)行了修補(bǔ)��,但是至今仍然有30多種 Windows應(yīng)用程序漏洞有待修補(bǔ)��。蘋(píng)果表示����,該漏洞只影響Windows版iTunes,但對(duì)不使用DLL文件的Mac OS X系統(tǒng)不存在威脅��。
網(wǎng)絡(luò)漏洞管理公司Rapid7首席安全官HD Moore表示�,這40種受影響的應(yīng)用程序中的漏洞要分別進(jìn)行修復(fù),并不能夠通過(guò)相同的補(bǔ)丁去修復(fù)�����。不過(guò)�����,Moore并未透露包含漏洞的Windows應(yīng)用程序的名稱(chēng)和生產(chǎn)制造商。
微軟對(duì)研究人員稱(chēng)���,它不會(huì)修復(fù)一個(gè)可能導(dǎo)致許多Windows應(yīng)用程序遭到攻擊的安全漏洞��。
據(jù)許多報(bào)道稱(chēng)��,許多開(kāi)發(fā)人員(包括微軟的)濫用Windows的重要功能導(dǎo)致許多應(yīng)用程序因裝載組件的方式而受到攻擊�。
這個(gè)問(wèn)題是上個(gè)星期首次出現(xiàn)的�。當(dāng)時(shí),Rapid7首席安全官和開(kāi)源軟件 Metasploit黑客工具的制作者HD Moore說(shuō)�,他發(fā)現(xiàn)了包括Windows Shell在內(nèi)的40個(gè)有漏洞的應(yīng)用程序。一天之后�,斯洛文尼亞的安全公司Acros說(shuō)���,在它從2008年12月開(kāi)始實(shí)施的一項(xiàng)調(diào)查中����,該公司發(fā)現(xiàn)了 200個(gè)有漏洞的Windows應(yīng)用程序�����。
所有這些研究人員都指出,由于軟件裝載Windows動(dòng)態(tài)鏈接庫(kù)(即.dll擴(kuò)展名的文件)以及.exe和.com為擴(kuò)展名的可執(zhí)行文件的方式存在問(wèn)題���,黑客能夠利用許多Windows應(yīng)用程序的安全漏洞����。如果黑客在應(yīng)用程序搜索的一個(gè)目錄中植入偽裝的惡意軟件�����,當(dāng)應(yīng)用程序查找一個(gè).dll��、.exe或者.com文件時(shí)���,黑客就能劫持用戶(hù)的PC�����。
Kwon星期一說(shuō)���,他在包括Office 2007、Adobe Reader和所有主要的瀏覽器在內(nèi)的Windows程序中發(fā)現(xiàn)了將近30個(gè)安全漏洞之后���,他曾在2009年8月向微軟報(bào)告了這個(gè)問(wèn)題����。
在Kwon與微軟安全反應(yīng)中心的工程師就遠(yuǎn)程可執(zhí)行代碼的安全漏洞問(wèn)題進(jìn)行的交流過(guò)程中,微軟對(duì)他說(shuō)��,微軟不會(huì)發(fā)布安全補(bǔ)丁���,而是通過(guò)未來(lái)推出的Windows和Office的服務(wù)包來(lái)解決這個(gè)問(wèn)題���。
Kwon說(shuō),微軟不愿意提供補(bǔ)丁是因?yàn)樵斐蛇@種安全漏洞的根本原因是其它廠商的產(chǎn)品����。微軟還告訴他說(shuō),微軟打算與那些包含安全漏洞的軟件的廠商進(jìn)行合作�����。
斯洛文尼亞的安全公司星期一在博客中說(shuō)���,根據(jù)我們的研究結(jié)果,我們可以肯定地說(shuō)��,所有的Windows用戶(hù)都可能受到通過(guò)至少一種二進(jìn)制代碼植入安全漏洞實(shí)施的攻擊���。
微軟對(duì)于Kwon所說(shuō)的該公司不愿意或者不能通過(guò)修復(fù)Windows漏洞解決這個(gè)問(wèn)題的說(shuō)法不愿意發(fā)表評(píng)論����。
番禺網(wǎng)頁(yè)設(shè)計(jì)
粵公網(wǎng)安備44011302004697
