安全专家警告,微软IE浏览器中的一个漏洞可能会导致互联网蠕虫的严重滋生。
尽管尚无证据显示该漏洞预示一些随机代码会得到执行从而使攻击者或蠕虫控制电脑系统,但是该漏洞的确是很严重的。
自由安全顾问Dave Matthews讲,如果这个漏洞大有可乘之机,那么毫无疑问已经有人搞清楚了。“有理由认为这是很危险的,需要花大力气才能把它转化成有用的东西。估计已经有人有了方案。”
这一安全漏洞于周日早晨公布在Bugtraq邮件列表中,Matthews认为这很有可能是对抗微软之举。这是由嵌入HTML文件中的恶意的Java脚本激发的缓冲区溢出漏洞。用IE5.0版或6.0版打开含有恶意脚本的网页或HTML文件时,缓冲区溢出,浏览器崩溃。然而,直到安全专家Kevin Finisterre确认该漏洞可使IE6崩溃。Finisterre认为,这种漏洞可以由电邮、甚至是简单地浏览网页等多种方式激发。他警告可能会出现蠕虫,但是强调说只是造成IE崩溃,并且还没有人找到可以利用该漏洞迫使IE运行代码的方法。很多情况下,可以造成应用软件崩溃的漏洞会引发更大的问题,但是Finisterre说其他的一些条件可能会使这个漏洞很难被利用。因为攻击者发出的数据要全部转换成大写字母,所以这似乎比缓冲区溢出更为困难。
微软的一位代表称公司正在调查,目前不对漏洞的危险性作出评论。微软的安全专家还没有来得及调查,对于这种过早的披露十分不满,认为至少会给用户带来不必要的混乱和忧虑。
安全分析师Jamie Gillespie认为,抗病毒软件的作用会比较有限,最需要的是补丁程序,但微软尚未推出补丁程序。
一些内容过滤公司认为,因为大家都认为HTML文件比可执行代码的安全性高,所以代码可能会通过通信网关达到用户的收件箱。一般的公司过滤网关都会放过HTML文件,30%的网关使用脚本分析工具检查恶意代码,但是仍会漏过未知格式的代码。内容过滤公司和抗病毒公司都在分析这个漏洞,以便决定最佳应对方案。(完)
