天氣預報
2004-02-19, 05:33 PM
微軟外流程式碼曝露舊版IE漏洞
CNET新聞專區:Robert Lemos 19/02/2004
安全研究人員在檢查Windows 2000及NT4軟體的程式碼時,在舊版的IE瀏覽器裡發現了漏洞。
這個只存在於IE 5.01的漏洞讓駭客可設立假造的網路伺服器,或者是在使用者點選URL時寄出可能讓電腦感染病毒的惡意電子郵件。安全研究人員在上週週末公布了這個漏洞,微軟承認有這個問題,並表示正在調查當中。
微軟的安全程式經理Mike Reavey表示:「IE 6(最新版瀏覽器)並不受影響。」「這的確是在檢查程式碼時所發現的。」
這項漏洞的發現也證實了微軟上週所流出的Windows原始程式碼可能被用來尋找微軟軟體的漏洞。檔案交易商與安全研究人員在網路上散播兩個200MB內含程式碼的檔案,而且情況看來,微軟似乎無法控制程式碼流出的效應。
PivX Solutions軟體公司的資深安全研究員Thor Larholm表示:「就好的一面來看,所有流出的軟體都是微軟推出信賴運算計劃(Trustworthy Computing Initiative)之前的──都是舊的程式碼。」「就壞的一面來看,由於程式碼的流出,也顯示出裡面絕對還有許多潛在的重大漏洞有待發現。」
Larholm還指出,流出的程式碼中(都是兩年以上的軟體)有許多已經內含在最新版的微軟作業系統裡了。
一位署名為「gta」三個字母的安全研究人員在一些安全郵件表裡貼上了該漏洞的資訊。根據網路分析公司WebSideStory的資料,以這款有漏洞的IE在上網的網友不到10%。
微軟在未告知消費者的情況下自行在下一版的IE修改了這個問題,這種做法也就是安全業界所謂的「暗中修復」(silent fix)。@Stake公司的數位安全研發副總Chris Wysopal表示,修補程式的做法很好,但是廠商應該要確保終端使用者得到通知。
他表示:「我懷疑的是他們如何和終端使用者溝通,讓他們知道該升級。」
不過Wysopal對這項發現持正面看法。他表示,這個漏洞的影響相當有限,正是微軟信賴運算計劃的證明。
他表示:「最大的問題還是在於微軟是否能夠在自己的程式碼裡自行找到漏洞。」「現在,我們至少找出一個例子證明微軟已經將漏洞修補好了。」(郭和杰)
http://taiwan.cnet.com/news/software/0,2000064574,20087632,00.htm
CNET新聞專區:Robert Lemos 19/02/2004
安全研究人員在檢查Windows 2000及NT4軟體的程式碼時,在舊版的IE瀏覽器裡發現了漏洞。
這個只存在於IE 5.01的漏洞讓駭客可設立假造的網路伺服器,或者是在使用者點選URL時寄出可能讓電腦感染病毒的惡意電子郵件。安全研究人員在上週週末公布了這個漏洞,微軟承認有這個問題,並表示正在調查當中。
微軟的安全程式經理Mike Reavey表示:「IE 6(最新版瀏覽器)並不受影響。」「這的確是在檢查程式碼時所發現的。」
這項漏洞的發現也證實了微軟上週所流出的Windows原始程式碼可能被用來尋找微軟軟體的漏洞。檔案交易商與安全研究人員在網路上散播兩個200MB內含程式碼的檔案,而且情況看來,微軟似乎無法控制程式碼流出的效應。
PivX Solutions軟體公司的資深安全研究員Thor Larholm表示:「就好的一面來看,所有流出的軟體都是微軟推出信賴運算計劃(Trustworthy Computing Initiative)之前的──都是舊的程式碼。」「就壞的一面來看,由於程式碼的流出,也顯示出裡面絕對還有許多潛在的重大漏洞有待發現。」
Larholm還指出,流出的程式碼中(都是兩年以上的軟體)有許多已經內含在最新版的微軟作業系統裡了。
一位署名為「gta」三個字母的安全研究人員在一些安全郵件表裡貼上了該漏洞的資訊。根據網路分析公司WebSideStory的資料,以這款有漏洞的IE在上網的網友不到10%。
微軟在未告知消費者的情況下自行在下一版的IE修改了這個問題,這種做法也就是安全業界所謂的「暗中修復」(silent fix)。@Stake公司的數位安全研發副總Chris Wysopal表示,修補程式的做法很好,但是廠商應該要確保終端使用者得到通知。
他表示:「我懷疑的是他們如何和終端使用者溝通,讓他們知道該升級。」
不過Wysopal對這項發現持正面看法。他表示,這個漏洞的影響相當有限,正是微軟信賴運算計劃的證明。
他表示:「最大的問題還是在於微軟是否能夠在自己的程式碼裡自行找到漏洞。」「現在,我們至少找出一個例子證明微軟已經將漏洞修補好了。」(郭和杰)
http://taiwan.cnet.com/news/software/0,2000064574,20087632,00.htm