微軟緊急修補安全弱點

在Google資訊安全研究員Tavis Ormandy周四公佈微軟Windows技術支援中心 (Help Support Center)的弱點及概念驗證攻擊程式碼後,微軟趕忙修補弱點。

在Google資訊安全研究員Tavis Ormandy周四公佈微軟Windows技術支援中心 (Help Support Center)的弱點及概念驗證攻擊程式碼後,微軟趕忙修補弱點。

Ormandy表示曾在6/5 通知微軟,同一天微軟也表示已知悉。然而5天之後,Ormandy將此事公開於全然揭密(Full Disclosure)通訊名單中。當天稍晚,微軟則自己發佈弱點訊息。

這項弱點至少影響包括Windows XP或Windows Server 2003。任何使用或連結到技術支援中心的軟體,包括郵件或Windows文件,都可能遭到攻擊,而使用者可能也不知道。

「或許最不可避免的訊號是技術支援視窗被攻擊者隱藏起來前短暫出現。有好幾種方法可做到。」Ormandy說。

微軟在弱點公告中指出,該公司「已發現到弱點的概念驗證攻擊碼」,但「目前沒看到實際攻擊。」微軟表示將發佈例外的安全修補程式。在此之前,它已發佈指令關閉HCP協定。但缺點是這會切斷PC連向技術支援的所有連結。

擔任Google Gentoo Linux安全小組的共同領導人的Ormandy已不是第一次抓到弱點,也不是第一次在廠商通報之外公佈弱點。一月時他也公佈了Windows一個存在已17年的漏洞及權宜措施,當時他並未等微軟就立即公佈。過去他也曾公佈Gentoo Linux及Sun Java的瑕疵。

為什麼不等微軟修補後才公佈呢?「我想突顯出,如果我當時只通報MPC::HexToNum()問題而沒公佈攻擊程式碼,恐怕沒人理我,」此外,他認為公佈臭蟲將能提供更快速的方法來抑止威脅。

那些默默確保網路安全的人常常是孤軍奮戰,未取得同儕的協助,特別是像這次那麼複雜的案例,解決問題有必要集結不同領域專家們的創新想法及反饋。

但是有人質疑他的時間點。「對我來說,5天前告知微軟時間不太夠,」Sophos安全研究員Graham Cluley說。「雖然Ormandy在『完全揭露』佈告欄中說他只代表自己發言,不代表任何公司,但身為一名Google員工,有人認為這樣做不太負責任。」

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416