臭名昭著的“极光”IE浏览器漏洞攻击影响正在慢慢消退,但来自以色列的安全公司BugSec公告称,微软早在四个月前,也就是去年八月就已经了解漏洞详情。
去年8月26日,BugSec向微软报告了影响IE 6,IE 7和IE 8的(最新版本)的缺陷,并警告有攻击浏览器用户,感染后门和系统组件的风险。
这一漏洞已经被用来实行网络间谍攻击,Google上周承认了被攻击问题是由该漏洞导致。
一般的软件供应商往往需要几个月的时间开发安全补丁,这个过程往往涉及大量的测试工作,不幸的是,微软到头来还是慢了一步。
微软去年Pwn2Own黑客大赛上发现的漏洞,在9个月后终于得到了修补,但是短短一天过后,就有研究者公布了新的Windows补丁的攻击代码。
这个被微软定义为最高危险等级“危急”的漏洞早在9个月前的黑客大赛上就发现了,当时它被其发现者用于强强联手攻击Internet Explorer 8 (IE8),并为其赢得了10000美元的奖金。
Vreugdenhil在去年的Pwn2Own上只用了2分钟就攻击了IE8,被称为“技术上令人印象深刻的”。他不光用了两个漏洞,而这两个漏洞都可以自身被利用,他还令两个漏洞同时奏效。
Vreugdenhil指出,这个攻击代码并不适用于实施犯罪的人,单单运行该开发程序不会起作用,不过IE会瘫痪。TippingPoint公司的Portnoy认为微软在9个月后才迟迟做出修补表现出他们在交流上的工作失误,因为微软认为该漏洞不可开发,而Vreugdenhil的工作则证明这是可以开发的,但直到Vreugdenhil到美国的TippingPoint工作后,他们才正式和微软联络上并指出这个漏洞的可开发性。
上个月微软再次就其对ASLR和DEP的信任表态,认为他们对目前可预想的攻击都可以做出强有力的对策。Portnoy对此持反对意见,“他们看不到漏洞不代表这些漏洞没有被利用过。这只是能说明微软还没发现它们”。今年3月9日至11 日,将在CanSecWest安全会议上举行新一届Pwn2Own比赛,届时将主要关注对浏览器和手机的开发。不过今年的现金大奖将颁给成功入侵手机宽带处理器的研究者,因为这将为开发处理无线通讯信号的芯片固件漏洞提供思路。
微软将于下星期将发布两个安全补丁修复Windows的三个安全漏洞。其中一个补丁是微软最高级别的“严重”的补丁,另一个是“重要”级别的安全补丁。这两个补丁都将修复Windows中的安全漏洞。nCircle安全公司的安全运营经理Andrew Storms称,修复Vista漏洞的那个补丁令人感到困惑。这个东西也许只有Vista有,而在Windows 7系统中不存在,或者为Windows 7重新编写了。
一些人推测这个安全漏洞也许存在于Vista系统的一个很少使用的组件中,如任务编排程序等。
至于第二个安全补丁,微软也没有提供更多的线索。Storms称,微软的第二个安全补丁很可能修复存在于操作系统动态链接库中的安全漏洞,也许是一个驱动程序或者数据库连接器。这对于操作系统都是非常重要的。
本周三发生了首次重大的云计算数据突破事件。微软宣布称,微软BPOS(商务办公在线套装软件)中包含的数据已经被非授权用户下载。
人们对这种事件的直接反应也许是责怪黑客。但是,这次的事件却与黑客无关。微软的Clint Patterson说,这次数据突破事件是由于微软在美国、欧洲和亚洲的数据中心的一个没有确定的设置错误造成的。BPOS软件中的离线地址簿在“非常特 别的情况下”提供给了非授权用户。这个地址簿包含企业的联络人信息。Patterson对于这个错误表示道歉。
微软称,这个错误在发现之后两个小时就修复了。微软称,它拥有跟踪设施,使它能够与那些错误地下载这些数据的人取得联系以便清除这些数据。
然而,整个事件让那些考虑在明年使用云计算的人感到担心,特别是让考虑使用与Office套装软件捆绑在一起的微软主要云计算产品Office 365的那些人感到担心。
业内人士称,在考虑使用任何厂商的提供的云计算服务的时候,有三个基本的威胁会导致数据泄漏:第一,云计算软件的配置错误或者软件中的瑕疵。第二,黑客窃取数据,为了取乐或者赚钱。第三,员工处理数据的疏忽。
云计算的应用还有许多问题。很难相信一些人所说的2011年将是云计算成为主流的一年。