| MozTW 討論區 https://forum.moztw.org/ |
|
| 又是推廣的好機會 https://forum.moztw.org/viewtopic.php?f=3&t=2670 |
第 1 頁 (共 1 頁) |
| 發表人: | erube [ 2004-06-30, 23:03 ] |
| 文章主題 : | 又是推廣的好機會 |
商業周刊:黑客借知名網站"殺"PC 罪魁是IE? 2004-06-30 11:03 【賽迪網訊】導言:安全問題專家最近對於一個問題進行了為期幾周的調查,6月11日,美國政府投資的位於美國卡內基梅隴大學的電腦安全監管機構US- CERT發出警告--微軟旗下的IE存在著一些致命漏洞,這些漏洞甚至可能引起一些網站將惡意程序植入運行在視窗操作系統上的電腦之中。此次警告十分不同尋常,因為在公司正式推出彌補漏洞問題的可靠補丁之前CERT往往不會向外界大規模公布警告消息,這也從另一方面說明了事態的緊急。 截至6月25日為止,專家們對於此次問題為何憂心忡忡的謎底終於解開了。來自於監控部門的消息証實,迄今為止不停的有用戶的電腦被一種黑客程序入侵,這種程序可以記錄下用戶對鍵盤的敲擊情況,竊取用戶賬號的登陸用戶名以及密碼,並且根據監控部門的追蹤,竊取後的情報都被發送到了一台位於俄國的電腦當中。這一波黑客程序的攻擊最終在周末得到了控制,具體的方式是通過對俄國站點的屏蔽,並且更新反病毒軟件的病毒庫來應對這種病毒。病毒的名稱為 “JS.scob.trojan 或者 download.Ject”。但是這兩種方法隻是治標不治本,根本的問題還沒有解決,第二波的攻擊隨時可以襲擊美國互聯網用戶。 然而在這種嚴重的後果出現之前,我們首先應該知曉一些此項漏洞的關鍵問題,進而進一步作出決定如何應對漏洞所帶來的黑客攻擊。 以下是關於最近鬧得沸沸揚揚的微軟瀏覽器--IE所存在問題的一個小結,希望能夠解開讀者心中的疑團。 第一個問題就是:是什麼引起了這次嚴重的安全性問題? 長期以來IE就一直存在著這樣那樣的隱患,其中就包括在從惡意站點下載不安全程序的過程中的安全問題。在過去的一段時間中,這個問題僅僅被懷疑存在可能有病毒的站點中,尤其是那些主營色情,破解軟件以及共享音樂的站點。而最近的一次黑客攻擊利用了IE中存在的多個安全漏洞,並且那些合法的網站也不能逃脫,隻要是安裝了微軟IIS,那麼其就有可能在這次黑客攻擊中成為借刀殺人的工具。並且病毒軟件的下載甚至不需要用戶作出任何操作,完全就是自動的過程。換句話說,當用戶瀏覽了被植入病毒軟件的網站其就可能受到攻擊。 什麼樣的站點被感染了病毒? 這個問題因為安全以及法律方面等等問題還不能夠對外公布。“考慮到名譽以及法律責任等等方面的桎梏,網站的擁有者們並沒有向他們的用戶進行警告。”非贏利性安全問題調查機構SANS以及 @RISK newsletter的教育組織主席艾倫保羅爾如是說。“那些向用戶如實通告的網站現在面臨著極度的風險。”SANS互聯網風暴中心的一些工作人員匿名透露:“現在為止已經有為數眾多的網站感染上了病毒,其中甚至包括一些十分受歡迎的站點。” 對於此次的問題微軟計劃作出如何反映? 這個問題還不得而知。IE中的這個缺陷一直伴隨著其的版本升級而沒有得到很好的解決,即允許站點獲得瀏覽器的信任,並且運行其上的程序。四年以來微軟推出了多個補丁來彌補這個安全性隱患,但是收效甚微,黑客程序依然可以通過這樣或者那樣的形式來利用這個漏洞進行自己的破壞行為。 不過一個最新版本的IE瀏覽器,將會從根本上解決這個問題,這款瀏覽器屬於Windows XP版本SP2升級包中的一部分。然而這個系統升級包最早也要在今年八月份才能與用戶見面,在這段真空期間中是否微軟將會作出臨時的措施現在還無從知曉。(在本文登載之前,微軟一直沒有對於最新版本補丁的要求作出回應) 我應該如何作才能在這個危險時期保護自己的安全? 最簡單的方法就是在這段時間將自己使用的瀏覽器從微軟的IE換成其他的替代品。微軟方面的回應是建議用戶將IE中的互聯網安全屬性設置為“高”或者手動調節設置選項,禁止Java腳本程序的運行。不過微軟建議中的第一條能給用戶帶來的隻有無窮無盡惱人的“確定”信息,而後一條建議又會導致一些網站不能正常顯示。所以目前為止對於普通用戶來說最好的選擇就是將對於微軟IE瀏覽器的青睞轉投到替代品的身上。 (責任編輯:孫瑜) |
|
| 第 1 頁 (共 1 頁) | 所有顯示的時間為 UTC + 8 小時 |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|