论文部分内容阅读
“微软曝出有史以来最大的安全漏洞!通过该漏洞,攻击者可以将木马藏于图片中,网民无论是通过浏览器浏览,还是用各种看图软件打开,或者在即时聊天窗口、电子邮件、Office文档里查看这些图片,只要看了就会中招!哪怕只是看了一个QQ表情!其危害程度远远超过以往微软公布过的任何安全漏洞。”近期,360安全卫士的这条消息被新浪网、人民网、新华网以及各大IT网站、论坛纷纷转载。一时间,人们把目光都投向了这个最具威胁力的漏洞,也投向了360安全卫士。
为引注意大爆料
有人说,在这个星球上,没有一家软件公司能在改进代码安全性所付出的努力上和微软相比,当然也鲜有一家软件公司能在漏洞数量上和微软匹敌。微软的漏洞不仅养活了一大批精英编程人员,也养活了一大批黑客以及数十家安全软件公司。前两者被养活对我们来说很好理解,但对于安全软件公司来说,漏洞却并没有让他们得益多少……
王占涛:其实在2007年的时候,就有针对GDI+漏洞的攻击。普通用户会认为GDI+是一个漏洞,但其实它对应的是一段程序,这段程序中任意一个节点都可能产生漏洞。黑客在2007年攻击的GDI+漏洞不是现在的这个节点。与之前的相比,我们今天讨论的这个GDI+漏洞涉及的格式更加广泛,包括bmp、wmf、gif、emf、vml等,都是人们使用非常普遍的格式,也因此会带来更严重的后果。
王艺:9月8日,微软已经发布了针对这个漏洞的补丁,而360的消息是9月17日发出的,所以说,并不是360先发现了这个漏洞,只不过是它先嚷嚷出去的,算是一个市场手段吧。其实微软的漏洞绝大部分还是微软自己发现的。因此,就我们实际检测到的结果来看,目前还没有发现利用这个漏洞的黑客行为,并且只要你系统的自动更新开启着,在你不知不觉中,这个补丁就已经打好了。不过,单单打系统补丁依然不够,它还会潜伏在各种浏览器、看图工具、QQ等聊天工具、Office程序等第三方软件中,如果你的机器内包含这些应用软件,也要及时升级更新。
王占涛:对,每天都有好几个漏洞出现,我如果每天都通告给用户,用户会疯掉,成熟的厂商应该有一个通盘的考虑。作为专业厂商来说,从市场角度增加曝光率是可以理解的,但一味大肆宣扬病毒的危害有多么多么大,只能给用户带来无谓的恐慌。我希望通过媒体引起普通用户关注的是—及时打好补丁。
少些炒作多些实干
微软的漏洞,基本上要靠微软自己来补,那在没补上漏洞之前,黑客会抓住漏洞侵袭用户电脑吗?在访谈中,我们从两位技术专家口中得知,一些国外的黑客高手会在微软和反病毒软件厂商之前发现这些漏洞,还会针对漏洞编写一些恶意代码,更危险的是,这些恶意代码会通过网络传入国内。那么反病毒软件除了为抢夺眼球而将漏洞的恐怖昭示天下外,还能做些什么呢?
王占涛:普通用户往往认为是哪家先嚷嚷出来,就是哪家的技术更厉害,其实这只是市场策略,而不是技术问题。即便是先将消息嚷嚷出去的360,它的漏洞修补工具也只针对的是XP的SP2,如果你用它修复别的系统的话,就很有可能出问题,比如上不了QQ啦之类的。虽然我们今天讨论的漏洞在理论上会引起很严重后果,但在现实上却并没有那样。我认为,在微软、反病毒软件和第三方软件三者中,最重要的是微软要及时发现漏洞,第三方软件要规范编程、及时响应、把漏洞补上。只要这两者做好,反病毒软件能做的很少。
王艺:发现漏洞,在网站上公布,我觉得是对的,但如果总是这样,也只能招用户讨厌。可以在功能方面做得更智能些,加入补丁的频率更快,让用户更容易打补丁。
为引注意大爆料
有人说,在这个星球上,没有一家软件公司能在改进代码安全性所付出的努力上和微软相比,当然也鲜有一家软件公司能在漏洞数量上和微软匹敌。微软的漏洞不仅养活了一大批精英编程人员,也养活了一大批黑客以及数十家安全软件公司。前两者被养活对我们来说很好理解,但对于安全软件公司来说,漏洞却并没有让他们得益多少……
王占涛:其实在2007年的时候,就有针对GDI+漏洞的攻击。普通用户会认为GDI+是一个漏洞,但其实它对应的是一段程序,这段程序中任意一个节点都可能产生漏洞。黑客在2007年攻击的GDI+漏洞不是现在的这个节点。与之前的相比,我们今天讨论的这个GDI+漏洞涉及的格式更加广泛,包括bmp、wmf、gif、emf、vml等,都是人们使用非常普遍的格式,也因此会带来更严重的后果。
王艺:9月8日,微软已经发布了针对这个漏洞的补丁,而360的消息是9月17日发出的,所以说,并不是360先发现了这个漏洞,只不过是它先嚷嚷出去的,算是一个市场手段吧。其实微软的漏洞绝大部分还是微软自己发现的。因此,就我们实际检测到的结果来看,目前还没有发现利用这个漏洞的黑客行为,并且只要你系统的自动更新开启着,在你不知不觉中,这个补丁就已经打好了。不过,单单打系统补丁依然不够,它还会潜伏在各种浏览器、看图工具、QQ等聊天工具、Office程序等第三方软件中,如果你的机器内包含这些应用软件,也要及时升级更新。
王占涛:对,每天都有好几个漏洞出现,我如果每天都通告给用户,用户会疯掉,成熟的厂商应该有一个通盘的考虑。作为专业厂商来说,从市场角度增加曝光率是可以理解的,但一味大肆宣扬病毒的危害有多么多么大,只能给用户带来无谓的恐慌。我希望通过媒体引起普通用户关注的是—及时打好补丁。
少些炒作多些实干
微软的漏洞,基本上要靠微软自己来补,那在没补上漏洞之前,黑客会抓住漏洞侵袭用户电脑吗?在访谈中,我们从两位技术专家口中得知,一些国外的黑客高手会在微软和反病毒软件厂商之前发现这些漏洞,还会针对漏洞编写一些恶意代码,更危险的是,这些恶意代码会通过网络传入国内。那么反病毒软件除了为抢夺眼球而将漏洞的恐怖昭示天下外,还能做些什么呢?
王占涛:普通用户往往认为是哪家先嚷嚷出来,就是哪家的技术更厉害,其实这只是市场策略,而不是技术问题。即便是先将消息嚷嚷出去的360,它的漏洞修补工具也只针对的是XP的SP2,如果你用它修复别的系统的话,就很有可能出问题,比如上不了QQ啦之类的。虽然我们今天讨论的漏洞在理论上会引起很严重后果,但在现实上却并没有那样。我认为,在微软、反病毒软件和第三方软件三者中,最重要的是微软要及时发现漏洞,第三方软件要规范编程、及时响应、把漏洞补上。只要这两者做好,反病毒软件能做的很少。
王艺:发现漏洞,在网站上公布,我觉得是对的,但如果总是这样,也只能招用户讨厌。可以在功能方面做得更智能些,加入补丁的频率更快,让用户更容易打补丁。