據(jù)報道稱,許多開發(fā)人員(包括微軟的)濫用Windows的重要功能導(dǎo)致許多應(yīng)用程序因裝載組件的方式而受到攻擊。
這個問題是上個星期首次出現(xiàn)的。當(dāng)時,Rapid7首席安全官和開源軟件Metasploit黑客工具的制作者HD Moore說,他發(fā)現(xiàn)了包括Windows Shell在內(nèi)的40個有漏洞的應(yīng)用程序。一天之后,斯洛文尼亞的安全公司Acros說,在它從2008年12月開始實施的一項調(diào)查中,該公司發(fā)現(xiàn)了200個有漏洞的Windows應(yīng)用程序。
所有這些研究人員都指出,由于軟件裝載Windows動態(tài)鏈接庫(即.dll擴(kuò)展名的文件)以及.exe和.com為擴(kuò)展名的可執(zhí)行文件的方式存在問題,黑客能夠利用許多Windows應(yīng)用程序的安全漏洞。如果黑客在應(yīng)用程序搜索的一個目錄中植入偽裝的惡意軟件,當(dāng)應(yīng)用程序查找一個.dll、.exe或者.com文件時,黑客就能劫持用戶的PC。
Kwon星期一說,他在包括Office 2007、Adobe Reader和所有主要的瀏覽器在內(nèi)的Windows程序中發(fā)現(xiàn)了將近30個安全漏洞之后,他曾在2009年8月向微軟報告了這個問題。
在Kwon與微軟安全反應(yīng)中心的工程師就遠(yuǎn)程可執(zhí)行代碼的安全漏洞問題進(jìn)行的交流過程中,微軟對他說,微軟不會發(fā)布安全補(bǔ)丁,而是通過未來推出的Windows和Office的服務(wù)包來解決這個問題。
Kwon說,微軟不愿意提供補(bǔ)丁是因為造成這種安全漏洞的根本原因是其它廠商的產(chǎn)品。微軟還告訴他說,微軟打算與那些包含安全漏洞的軟件的廠商進(jìn)行合作。
斯洛文尼亞的安全公司星期一在博客中說,根據(jù)我們的研究結(jié)果,我們可以肯定地說,所有的Windows用戶都可能受到通過至少一種二進(jìn)制代碼植入安全漏洞實施的攻擊。
微軟對于Kwon所說的該公司不愿意或者不能通過修復(fù)Windows漏洞解決這個問題的說法不愿意發(fā)表評論。
