| |
|
你在即时传讯吗?三大IM 软件分传安全漏洞! 即时传讯软件已是今日计算机不可或缺的软件之一,安全专家也越来越重视这些软件所产生的漏洞问题。但目前情况似乎不甚乐观。 上周安全专家在AOL时代华纳所属的Instant Messenger(ICQ)、微软MSN Messenger、以及Yahoo Messenger都发现安全漏洞。 「这是程序漏洞的又一例证。」eEye Digital Security 黑客研究主任Marc Maiffret 表示。该公司是在上周发现MSN Messenger的漏洞。 「那些漏洞目前依然存在,还是有缓冲存储器溢位 (buffer overflow) 的问题。」 另一位安全专家Mattt Conover则是发现AOL时代华纳即时传讯中的漏洞,他将漏洞告知该公司后,目前软件中的漏洞已经修补完毕。但他 表示最令他担心的是AOL竟然不知这些漏洞的存在。 「外面许多人都知道这些漏洞的存在,但他们却不愿告知。」Conover表示。 Yahoo的即时传讯软件(IM)也难逃一劫。IM 软件规定使用者必须将浏览器设定为可接受所有网页的scripts,安全专家表示如此一来黑客或 病毒将有机可乘,藉此渗透使用者计算机。 网页中加入scripts(如JavaScript或Active Scripting)可让网页添增互动性与延伸功能。Yahoo强调这在现今网络上是很常见的作法。该 公司发言人Mary Osako表示,即使使用JavaScript还是可提供使用者安全的保障。「多数网友都把JavaScript开启当作默认值。」 不过这样的说法可能有漏洞,因为若将此功能设为只接受来自服务器端的scripts,网友即可享受多媒体互动功能;若设为接受所有网页的 scripts,则危险性大得多。 「Yahoo的设定并非最佳作法,」赛门铁克安全总监Vicent Weafer表示。「如此会使我的浏览器门户大开,很容易被病毒感染。」 名噪一时的Nimda病毒即是利用此一漏洞。一旦病虫感染一台网页服务器后,它就会在服务器上的每个网站首页加上JavaScript。若网友浏 览受感染的网站,则计算机便会开始执行script。 Yahoo发言人则表示会再研究此问题的严重性。 属于开放原始码阵营的Jabber即时传讯作者Jeremie Miller则表示即时传讯软件间竞争激烈,厂商往往只想到市占率,彼此相互提防,根 本不会多花心思在提升安全功能上。 |
| Copyright By「黑白网络工作室」2002 All Rights Reserve |