吳明宜
在 Google 資訊安全研究員 Tavis Ormandy 周四公佈微軟 Windows 技術支援中心 (Help Support Center) 的弱點及概念驗證攻擊程式碼後,微軟趕忙修補弱點。
Ormandy 表示曾在 6/5 通知微軟,同一天微軟也表示已知悉。然而 5 天之後,Ormandy 將此事公開於全然揭密 (Full Disclosure) 通訊名單中。當天稍晚,微軟則自己發佈弱點訊息。
這項弱點至少影響包括 Windows XP 或 Windows Server 2003 。任何使用或連結到技術支援中心的軟體,包括郵件或 Windows 文件,都可能遭到攻擊,而使用者可能也不知道。
「或許最不可避免的訊號是技術支援視窗被攻擊者隱藏起來前短暫出現。有好幾種方法可做到。」Ormandy 說。
微軟在弱點公告中指出,該公司「已發現到弱點的概念驗證攻擊碼」,但「目前沒看到實際攻擊。」微軟表示將發佈例外的安全修補程式。在此之前,它已發佈指令關閉 HCP 協定。但缺點是這會切斷 PC 連向技術支援的所有連結。
擔任 Google Gentoo Linux 安全小組的共同領導人的 Ormandy 已不是第一次抓到弱點,也不是第一次在廠商通報之外公佈弱點。一月時他也公佈了 Windows 一個存在已 17 年的漏洞及權宜措施,當時他並未等微軟就立即公佈。過去他也曾公佈 Gentoo Linux 及 Sun Java 的瑕疵。
為什麼不等微軟修補後才公佈呢?「我想突顯出,如果我當時只通報 MPC::HexToNum() 問題而沒公佈攻擊程式碼,恐怕沒人理我,」此外,他認為公佈臭蟲將能提供更快速的方法來抑止威脅。
那些默默確保網路安全的人常常是孤軍奮戰,未取得同儕的協助,特別是像這次那麼複雜的案例,解決問題有必要集結不同領域專家們的創新想法及反饋。
但是有人質疑他的時間點。「對我來說,5 天前告知微軟時間不太夠,」Sophos 安全研究員 Graham Cluley 說。「雖然 Ormandy 在『完全揭露』佈告欄中說他只代表自己發言,不代表任何公司,但身為一名 Google 員工,有人認為這樣做不太負責任。」