暴风影音回应诺顿指其漏洞事件

　　PConline北京9月19日[文/操刚] 软件厂商之间的口水之争从未平息过。9月17日，知名反病毒厂商赛门铁克宣布，其安全响应中心最近发现，在国内广受欢迎的中文媒体播放器“暴风影音”中存在多个缓冲充溢漏洞，其中一些正在被主动攻击。漏洞与“暴风影音”所使用的ActiveX控制插件有关，用户只需要浏览一个隐藏攻击代码的网站就有可能受到攻击。

　　如果用户的电脑一理受到攻击，成功的攻击会允许任意代码对使用ActiveX控制插件(在此情况下即IE浏览器)的程序远程执行，让攻击者全面控制受到攻击的电脑。而不成功的攻击可能会造成拒绝执行的情况，造成浏览器死机。

　　赛门铁克同时指出，漏洞已经确认在“暴风影音”2.8和2.9测试版中发现，其它版本有可能也会受到影响。赛门铁克Security Focus发布了代号为BID 25601的信息，该信息包括在厂家提供补丁之前的临时补救做法。赛门铁克还增加了针对漏洞的启发性检测Bloodhound.Exploit.160。

　　暴风影音正式回应：升级早就完成

　　就在诺顿发布暴风影音的漏洞之后不久，PConline新闻组也收到了来自暴风影音的官方声明，暴风影音表示，早在9月9日下午16：00，暴风影音从DSW Lab AVERT小组得知，该小组发现暴风影音的一个activex控件上存在一个0day漏洞，即能够被黑客所利用的程序漏洞，通过该漏洞，黑客可以威胁计算机用户的使用安全。在发现该漏洞的第一时间，暴风影音研发团队就对该漏洞进行了处理，并于9月10日上午8：00发布安全解决方案，截止9月10日下午16：00，在暴风影音官方网站和各大下载网站都更换了最新的暴风影音安全版本。借助于暴风影音快速的升级机制，在9月10日晚些时候，大部分的暴风影音用户都完成了升级。

　　暴风影音同时指责赛门铁克，称其作为一家有影响力的信息安全服务商，在事件已经解决的10天后发布单方面的信息，不仅误导了广大暴风影音的用户，而且对暴风影音的名誉造成了重大的损害。对于赛门铁克这样不负责任的行为，暴风影音表示谴责并保留进一步行动的权利。

　　作者：PConline产业资讯 操刚