新伤

　　据微软的安全顾问，Bug检查专家Georgi Guninski的报告，微软的Windows 2000和IE 5.x都有安全漏洞，极易受到区域网或远程的黑客攻击。这个安全漏洞存在于微软的网络文件夹里。在Windows 98里，人们通过微软的网络可把文件夹视为网页。而在Windows 2000里，这已经成了默认功能。使用Windows 95/98和Internet Explorer 5.x用户的都将面对这样一个问题，就是别人有可能通过IE 5.x看到你的文件夹的内容，并对其进行操作。

　　在Win 98中使用IE 5.x，他人就有可能对用户的电脑进行控制。当某人仅仅浏览局域或远程的一个文件夹时，他就可以进入用户的电脑里。这与已经发现的浏览网页或通过微软的Outlook邮件服务器浏览以HTML的电子邮件一样，极易受到攻击。相对于企业用户，没有防火墙保护的个人用户更容易受到攻击。

　　Guninski称，当系统管理员进行一台装有Win 2000的机器，他可能也会遇到同样的麻烦，不过如通过安全的防火墙，则不会对文件夹造成影响。

　　据微软负责安全反应中心的经理讲，微软已经发现这个问题，目前已经采取解决措施。

　　其实微软的产品出现漏洞并不是一件新鲜事，这一传统由来已久。

　　旧痛

　　早在7月微软刚推出IE5.5的正式版的时候，人们就发现了其中的安全漏洞,工程师只好立即修改。当时的漏洞也是由Georgi Guninski发现的。这个安全漏洞使得黑客能攻击目标电脑上的文件。这个漏洞存在于它的ActiveX c控制里。ActiveX是微软用来与其它的网络浏览器互相影响用的，比台式机的应用软件的功能更强大。这项技术也曾因安全问题遭到人们的指责。ActiveX控制微软动态HTML编辑器(DHTMLED)——它允许网络开发者自动在他们的网站上增加页面编辑。如执行微软的文件目标模式(DOM)，标准的格式是让网页上各个组成部分分开进行操作。如用户使用剪切功能时，就很容易导致黑客对目标电脑的攻击。在更久的时候，微软公布过IE(互联网探索者浏览器)的补丁。在微软的IE中，有“Active Setup Download(激活安装下载)"的技术，黑客或不怀好意的网站管理员通过复盖这个程序就可以潜在地摧毁与互联网相连的电脑。

　　本来的Active Setup是微软设计来快速下载IE用的。它会自动搜索哪些有用的文件，并只下载那些有用的文件，而不是全盘下载所有的文件或应用软件。

　　因为人们常常从不知名的地方下载软件，也许一些软件里含有病毒或有害的程序，这些程序就有可能摧毁电脑。

　　Active Setup软件认为所有的微软为基础的文件都是可信任的。这就是说，浏览器将自动进行下载而不给出请求。理论上讲，有害的程序能通过微软的网站感染微软的文件。但在微软网站的文件都是免费的。这样就会传播给其它的电脑。

　　其实，这个缺陷运行起来有点像‘拒绝服务’程序，它将用大量正常的无害的程序去淹没一台电脑，直到它不能工作。下载的文件，包含有微软的数字签名，它不给电脑用户提出警示就通过了Active Setup进行下载，并发送到特定的路径里，复盖现有的文件，导致系统瘫痪。但是，问题是层出不群的，旧的bug解决了,新的bug又被发现，也许我们该问问为什么了。体检

　　有关报道认为微软在软件安全上所持的态度是令人担忧的。这不止是因为微软的产品非常普遍，同时还应该考虑到其它因素，其中包括微软的商业模式、捆绑策略、开发过程、ActiveX及操作系统同应用的紧密集成。微软的商业模式需要永久的改变。这种策略造成了这种环境，它的每一种新版本OS和应用软件在进入主流前很少在公众曝光。

　　软件中新技术的捆绑使应用软件越来越大，也越来越难进行安全方面的调试，如Windows 2000的代码大概有三千到四千万行，开发组成员有数千人。附加更多安全新技术并不意味着Windows 2000是更安全的产品。

　　微软的开发过程没有就安全方面进行彻底的改进，微软仍没有为开发人员进行强制安全培训。它不断的修正新出现的问题，这要比阻止漏洞在第一处发生要容易的多。

　　微软的ActiveX编程模块没有提供“sandboxing”码设置，它的数字签名技术也没有能为在互联网上ActiveX控件的使用提供足够的保护。

　　微软操作系统和应用的紧密结合建立了有益于恶意码令的环境，爱虫已经显示出恶意码令怎样利用这种技术结合了。在大多数情况下，视窗没有用户干预装载ActiveX控件，这些码令能做计算机用户有权在机器上做的事。更糟糕的是微软的办公文档被视为ActiveX控件自动装载。

　　有关微软的此类报道层出不穷，也许微软真该考虑一下在安全问题上所持的态度了。AMD携手SuSE铸“大锤”现在的AMD不再寂寞了。

　　当AMD公司刚刚宣布其64位芯片“大锤”的诞生时候，倍受各大操作系统厂商的冷落。当时AMD已经向微软、IBM、Sun等操作系统公司以及Linux的创始人Linus Torvalds提供了“大锤”的软件开发指南资料。但令人吃惊的是，除了Sun公司外，其他的均反映冷淡。

　　Sun公司的Solaris操作系统部发言人说：“我们的操作系统开发队伍对于AMD的64位技术激动不已，我们热烈欢迎AMD公司的ISV兼容性和升级战略以及他们的开放技术声明。我们将密切关注它的进展。”但他同时声明，Sun也将支持英特尔公司的IA-64芯片。

　　微软公司之前已经表示，英特尔公司的IA-64正式向市场推出之后，它将尽快发布其相应的、优化的IA-64版Windows 2000。该公司不愿谈及对“大锤”的支持计划。

　　同样，关于对“大锤”的支持事宜，IBM也未做任何说明。IBM正在开发的AIX可以同时支持其自身的64位Power4芯片以及英特尔公司的IA-64。

　　现在AMD终于找到了合作伙伴，开始向Inter发起再次挑战。AMD公司已经和SuSE公司达成了合作协议，希望在SuSE公司的帮助之下，使Linux适用于它即将推出的64位“大锤”微处理器。大锤”微处理器是AMD公司迄今为止最雄心勃勃的一个开发项目。它将既可以运行针对Pentium III和Athlon等32位微处理器设计的软件，也可以运行针对64位微处理器设计的软件。目前，市场上的64位微处理器包括Sun微系统公司的UltraSparc、康柏电脑公司的Alpha，以及英特尔公司即将推出的Itanium。

　　向64位微处理器转移，可以使用容量更大的数据库，还可以获得其他一些优势，当然，前提条件是必须有能够发挥64位微处理器强大功能的操作系统和应用软件。而在向64位微处理器转移的过程中，英特尔和AMD采取了不同的方法。英特尔公司选择开发一种名叫“IA-64”的全新语言，而“大锤”则使用了一种AMD公司称之为“x86-64”的架构，它实际上是对英特尔32位架构的扩展。

　　为了能够在64位的微处理器上运行，Linux和它的相关编程工具必须能够和这些微处理器进行数据传递。AMD已从本周初开始公布“大锤”微处理器数据传输的细节。SuSE公司的一位程序员已经开发出使Linux和相关软件在“大锤”微处理器上运行所需的首批编程工具。其它为AMD公司的“x86-64”架构提供编程支持的企业有代码魔术公司和波特兰集团公司等。