據(jù)報道稱,許多開發(fā)人員(包括微軟的)濫用Windows的重要功能導(dǎo)致許多應(yīng)用程序因裝載組件的方式而受到攻擊。
這個問題是上個星期首次出現(xiàn)的。當(dāng)時,Rapid7首席安全官和開源軟件Metasploit黑客工具的制作者HD Moore說,他發(fā)現(xiàn)了包括Windows Shell在內(nèi)的40個有漏洞的應(yīng)用程序。一天之后,斯洛文尼亞的安全公司Acros說,在它從2008年12月開始實施的一項調(diào)查中,該公司發(fā)現(xiàn)了200個有漏洞的Windows應(yīng)用程序。
所有這些研究人員都指出,由于軟件裝載Windows動態(tài)鏈接庫(即.dll擴展名的文件)以及.exe和.com為擴展名的可執(zhí)行文件的方式存在問題,黑客能夠利用許多Windows應(yīng)用程序的安全漏洞。如果黑客在應(yīng)用程序搜索的一個目錄中植入偽裝的惡意軟件,當(dāng)應(yīng)用程序查找一個.dll、.exe或者.com文件時,黑客就能劫持用戶的PC。
Kwon星期一說,他在包括Office 2007、Adobe Reader和所有主要的瀏覽器在內(nèi)的Windows程序中發(fā)現(xiàn)了將近30個安全漏洞之后,他曾在2009年8月向微軟報告了這個問題。
在Kwon與微軟安全反應(yīng)中心的工程師就遠程可執(zhí)行代碼的安全漏洞問題進行的交流過程中,微軟對他說,微軟不會發(fā)布安全補丁,而是通過未來推出的Windows和Office的服務(wù)包來解決這個問題。
Kwon說,微軟不愿意提供補丁是因為造成這種安全漏洞的根本原因是其它廠商的產(chǎn)品。微軟還告訴他說,微軟打算與那些包含安全漏洞的軟件的廠商進行合作。
斯洛文尼亞的安全公司星期一在博客中說,根據(jù)我們的研究結(jié)果,我們可以肯定地說,所有的Windows用戶都可能受到通過至少一種二進制代碼植入安全漏洞實施的攻擊。
微軟對于Kwon所說的該公司不愿意或者不能通過修復(fù)Windows漏洞解決這個問題的說法不愿意發(fā)表評論。
