微軟上周稱它會(huì)修復(fù)Windows安全漏洞以減少新的基于網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。但是,安全研究人員稱,其它操作系統(tǒng)可能也有同樣的安全風(fēng)險(xiǎn)。
一直在認(rèn)真研究這個(gè)問(wèn)題的安全研究人員之一Nathan McFeters稱,他希望在本星期在圣地亞哥舉行的Toorcon黑客會(huì)議上介紹Linux和Mac OS X等其它基于Unix的操作系統(tǒng)也存在URI(統(tǒng)一資源識(shí)別符)協(xié)議處理程序安全漏洞的細(xì)節(jié)。
McFeters在采訪中表示,他還沒(méi)有發(fā)現(xiàn)在基于Unix的操作系統(tǒng)上運(yùn)行非授權(quán)代碼的方法。但是,他和他的同事也經(jīng)發(fā)現(xiàn)了許多問(wèn)題,值得對(duì)這個(gè)問(wèn)題展開(kāi)進(jìn)一步的研究。
McFeters和其他研究人員在過(guò)去的幾個(gè)月里一直研究用來(lái)在網(wǎng)絡(luò)瀏覽器中啟動(dòng)應(yīng)用程序的URI協(xié)議處理技術(shù)中的問(wèn)題。這些協(xié)議中最著名的一個(gè)協(xié)議也許是mailto。這個(gè)協(xié)議用來(lái)在瀏覽器中啟動(dòng)電子郵件客戶端軟件。
但是,任何軟件開(kāi)發(fā)人員都能夠向操作系統(tǒng)注冊(cè)自己的應(yīng)用程序。這就導(dǎo)致了一些風(fēng)險(xiǎn)狀況,因?yàn)閺臑g覽器中啟動(dòng)應(yīng)用程序有時(shí)候沒(méi)有對(duì)這些應(yīng)用程序的執(zhí)行方法進(jìn)行適當(dāng)?shù)臋z查。
到目前為止,黑客已經(jīng)找到了一些方法通過(guò)在利用一些知名的應(yīng)用軟件中的URI協(xié)議的網(wǎng)絡(luò)連接中偷偷地加入指令在用戶計(jì)算機(jī)上執(zhí)行未經(jīng)授權(quán)的軟件。微軟原來(lái)稱,軟件開(kāi)發(fā)商要保證它們的軟件程序檢查這種鏈接,防止其中包含惡意代碼。但是,微軟上周表示它也將在Windows操作系統(tǒng)中增加一些檢查措施。
McFeters是Ernst & Young全球公司的安全研究人員。他表示,這些協(xié)議通常沒(méi)有必要進(jìn)行注冊(cè)并且很少考慮到安全問(wèn)題。即使設(shè)計(jì)不佳的URI協(xié)議注冊(cè)不被用來(lái)安裝非授權(quán)的軟件也會(huì)給攻擊者提供訪問(wèn)數(shù)據(jù)和應(yīng)用程序的機(jī)會(huì)。�
Secunia ApS公司首席技術(shù)官Thomas Kristensen也贊成URI協(xié)議處理程序問(wèn)題可能會(huì)影響到Linux和Mac OS X操作系統(tǒng)的觀點(diǎn)。他說(shuō),其它平臺(tái)也存在同樣的問(wèn)題是絕對(duì)有可能的。
