目前�,大約有40種不同的Windows應(yīng)用程序中包含一種高危漏洞�����,它可以讓攻擊者劫持用戶的電腦并讓它們感染惡意軟件��。
四個(gè)月前,蘋果公司曾經(jīng)對(duì)Windows操作系統(tǒng)中使用的iTunes軟件中所包含的這個(gè)漏洞進(jìn)行了修補(bǔ)��,但是至今仍然有30多種 Windows應(yīng)用程序漏洞有待修補(bǔ)���。蘋果表示,該漏洞只影響Windows版iTunes��,但對(duì)不使用DLL文件的Mac OS X系統(tǒng)不存在威脅����。
網(wǎng)絡(luò)漏洞管理公司Rapid7首席安全官HD Moore表示,這40種受影響的應(yīng)用程序中的漏洞要分別進(jìn)行修復(fù)���,并不能夠通過相同的補(bǔ)丁去修復(fù)���。不過,Moore并未透露包含漏洞的Windows應(yīng)用程序的名稱和生產(chǎn)制造商����。
微軟對(duì)研究人員稱,它不會(huì)修復(fù)一個(gè)可能導(dǎo)致許多Windows應(yīng)用程序遭到攻擊的安全漏洞�。
據(jù)許多報(bào)道稱,許多開發(fā)人員(包括微軟的)濫用Windows的重要功能導(dǎo)致許多應(yīng)用程序因裝載組件的方式而受到攻擊�。
這個(gè)問題是上個(gè)星期首次出現(xiàn)的。當(dāng)時(shí),Rapid7首席安全官和開源軟件 Metasploit黑客工具的制作者HD Moore說�����,他發(fā)現(xiàn)了包括Windows Shell在內(nèi)的40個(gè)有漏洞的應(yīng)用程序���。一天之后�����,斯洛文尼亞的安全公司Acros說�����,在它從2008年12月開始實(shí)施的一項(xiàng)調(diào)查中����,該公司發(fā)現(xiàn)了 200個(gè)有漏洞的Windows應(yīng)用程序���。
所有這些研究人員都指出�����,由于軟件裝載Windows動(dòng)態(tài)鏈接庫(即.dll擴(kuò)展名的文件)以及.exe和.com為擴(kuò)展名的可執(zhí)行文件的方式存在問題��,黑客能夠利用許多Windows應(yīng)用程序的安全漏洞��。如果黑客在應(yīng)用程序搜索的一個(gè)目錄中植入偽裝的惡意軟件���,當(dāng)應(yīng)用程序查找一個(gè).dll���、.exe或者.com文件時(shí),黑客就能劫持用戶的PC����。
Kwon星期一說���,他在包括Office 2007����、Adobe Reader和所有主要的瀏覽器在內(nèi)的Windows程序中發(fā)現(xiàn)了將近30個(gè)安全漏洞之后��,他曾在2009年8月向微軟報(bào)告了這個(gè)問題�����。
在Kwon與微軟安全反應(yīng)中心的工程師就遠(yuǎn)程可執(zhí)行代碼的安全漏洞問題進(jìn)行的交流過程中�,微軟對(duì)他說,微軟不會(huì)發(fā)布安全補(bǔ)丁,而是通過未來推出的Windows和Office的服務(wù)包來解決這個(gè)問題��。
Kwon說��,微軟不愿意提供補(bǔ)丁是因?yàn)樵斐蛇@種安全漏洞的根本原因是其它廠商的產(chǎn)品��。微軟還告訴他說��,微軟打算與那些包含安全漏洞的軟件的廠商進(jìn)行合作�����。
斯洛文尼亞的安全公司星期一在博客中說���,根據(jù)我們的研究結(jié)果��,我們可以肯定地說���,所有的Windows用戶都可能受到通過至少一種二進(jìn)制代碼植入安全漏洞實(shí)施的攻擊。
微軟對(duì)于Kwon所說的該公司不愿意或者不能通過修復(fù)Windows漏洞解決這個(gè)問題的說法不愿意發(fā)表評(píng)論�。
番禺網(wǎng)頁設(shè)計(jì)
粵公網(wǎng)安備44011302004697
