01/07 Source -- [ Infopro.com資傳網 ]

   美國聯邦調查局(FBI,Federal Bureau of Investigation)的國家基礎建設保護中心(NIPC,National Infrastructure Protection Center)日前修正了該中心的安全公告,降低了Windows XP中有關UPnP的漏洞評等。

就在去年年底微軟推出了這漏洞的修補程式後,NIPC的安全公告中即建議使用者關閉UPnP(Universal Plug and Play)的功能,以避免駭客利用此一漏洞入侵電腦,甚至發動大規模的分散式阻斷服務(Distributed-DoS)攻擊。現在NIPC更新了這個安全公告,建議使用者立即安裝修補程式後,可繼續使用UPnP功能。

卡內基•美儂(Carnegie Mellon)大學的「電腦緊急應變小組」(CERT,Computer Emergency Response Team)組長馬堤•林耐(Marty Lindner)說,NIPC是在充分考量所有資訊後,做出此一決定的。由於先前碰巧遇上聖誕節與新年假期,安全專家無法即時的考量此一問題。「資訊不足、時間太短,NIPC當時作了正確的處置。」他說。

由於緩衝區溢位的問題,UPnP產生的漏洞會影響到Windows 98、98SE、ME、以及Windows XP等作業系統。UPnP能讓電腦主動發現其他往路上的裝置,例如印表機、掃瞄機等。Windows XP本身即內建UPnP,系統預設值為開啟,所以產生危機的機率最大;Windows ME亦內建UPnP,但預設值為關閉;至於其他作業系統,則必須先透過下載後,方能使用此一功能。最初NIPC認為這漏洞出在UPnP本身,追查後才發現是其它的元件出了問題。

但加州SecurityFocus公司的副總裁胡格(Alfred Huger)認為,NIPC修正評比「根本就是一個錯誤」。一位分析師則中肯的指出,有關這個漏洞的論戰將沒完沒了:「最糟糕的是,意見莫衷一是,消費者也不知道該何去何從。」