科技时代新浪首页 > 科技时代 > 软件 > 病毒与杀毒专区专题 > 正文

视窗漏洞发布者回应指责 称已向微软提交报告


http://www.sina.com.cn 2004年12月31日 09:58 ChinaByte

  天极网特稿 (记者 宋保强) 12月23日,网络安全焦点(Xfocus)的中国论坛小组的一名成员flashsky公布了在Windows系统中发现的三个潜在的严重漏洞,遭到微软的谴责。微软公司的一名发言人称,这种不负责任的发布代码行为,并不符合用户的利益。

  微软发言人表示失望

  针对Xfocus小组在自己网站上公布3个安全漏洞的做法,微软的一名女发言人表示,他们正积极地研究Xfocus小组的发现。“微软对Xfocus小组这种可能让用户陷于危险中的行为感到失望,这种行为不符合业界把发现的安全漏洞先报告给软件生产商的惯例。”该发言人呼吁,个体的研究人员,应该执行负责的漏洞报告程序,以允许生产商先评估报告的准确性,以作出对用户最有利的反应。微软表示,目前不清楚是否有利用到这三个漏洞的恶意代码存在,此外,微软还补充说,该事件目前还没有对用户造成立即的影响。

  已向微软提交但未得到回应

  据记者调查,flashsky早在公布漏洞前2天已经将相关资料提交过给微软,但是一直没有收到过微软的回复。为慎重起见,公布漏洞之前,flashsky把所有的漏洞都是提交给了CVE,该组织是一个国际漏洞统一编号组织,基本被安全行业所公认的一个漏洞管理的组织。

  微软一向不尊重中国发现者

  按照国际惯例,漏洞提交给软件开发商后三个月甚至一个月还没有答复就可以公告。但据flashsky透露,Xfocus曾经把发现的Windows漏洞提交给微软,但等了10个月,微软却表示不会对漏洞进行单独公告。最终在微软的公告上,这个漏洞变成了某国外组织的发现。

  Xfocus在安全焦点论坛发言说:“在MS一向不尊重国内的漏洞发现者的前科之下,漏洞发现者当然没有义务先知会MS。”

  为什么要公开漏洞?

  flashsky表示,公布具体的技术细节的目的,是为了让安全公司尽早对用户提供保护,而不是让黑客首先利用这些漏洞。他认为,对漏洞的检测要比对漏洞的利用简单得多。黑客比安全公司的研究人员更懂得挖掘、分析和利用漏洞,而公布了细节之后,一般的安全公司就会比黑客提前做好防范工作。

  三个漏洞的危害性

  Xfocus发现的这三个安全漏洞,一个是和Windows和Unix系统里面的图像装载函数有关,另外两个分别是在Windows的帮助系统以及ANI(自动数字验证)验证系统中发现的。Symantec公司的安全响应部门在星期五证实了三个新发现的Windows漏洞,如果被恶意网页和电子邮件所利用,这些漏洞可能会对系统造成严重的威胁。

  Symantec表示,微软的“LoadImage API函数整数溢出漏洞”,可能会通过浏览器和电子邮件的客户端软件,被恶意代码所利用。用户只要打开带有图像的HTML信息或者网页就可能会面临安全风险。另外一个漏洞的名称为“Windows内核ANI文件分解冲突和DoS漏洞”,用户只要点击含恶意代码的网页或者信息,就可能会引起一个DoS攻击,导致系统瘫痪。以上两个漏洞在Windows NT,Windows 2000和Windows XP SP1系统中均存在,而Windows XP SP2则不受影响。

  第三个被列为“高危”的漏洞,是和Windows的帮助文件(.hlp)有关。在hlp文件处理过程中出现的一些解码错误,可能会导致大量的缓冲溢出,然后被恶意代码所利用。这个漏洞的影响范围更大,连Windows XP SP2也不能幸免。

  flashsky认为并不严重

  flashsky并不认为3个漏洞的发布会造成重大安全隐患,他表示,第一,漏洞公布的同时也公布了验证代码,所有的安全公司都可以抢在漏洞被利用之前,最多2天以内就可以在他们的防护产品里加入检测代码。第二,3个漏洞中,2个是能执行代码的,但要利用LoadImage漏洞则比较困难,虽然提供了一个验证的利用代码来演示该漏洞可以被利用,但攻击者要写出通用且嵌入执行特定功能的代码,并非是一个简单的事情。

  他同时表示,一般人很少会收到HLP的文件,所以HLEP文件的漏洞也并不可怕。(完)



新浪科技24小时热门新闻排行

评论】【应用软件】【推荐】【 】【打印】【下载点点通】【关闭
 

 
新 闻 查 询
关键词一
关键词二



彩 信 专 题
元旦节
元旦和弦铃声专题
棋魂
千年棋魂藤原佐为
请输入歌曲/歌手名:
更多专题   更多彩信
 
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网