过去数月中,计算机业巨头在忙于修补一个互联网域名服务器(DNS)漏洞,并于周二发布了一款软件补丁。业界专家称,如果该漏洞不及时得到修补,黑客很有可能借机控制网络流量。

  知名网络安全公司Securosis分析师里奇·莫古尔(Rich Mogul)对此表示:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时控制权将掌握在黑客手中。”

  “网络钓鱼”(phishing)攻击者无疑将因此倍感欣喜,因为该漏洞能把互联网用户引导至假冒银行或信用卡公司页面,以乘机骗取网民的银行帐号、密码及其他个人信息。利用这一漏洞,不管用户输入何种网址,黑客都可以将他们转至黑客们所设定的网页中去。

  美国网络安全产品和服务提供商IOActive安全研究员丹·卡明斯基(Dan Kaminsky)表示,自己大约在六个月前发现该DNS漏洞,随即与微软、Sun和思科等业内巨头取得了联系,以就提出相应解决方案问题展开合作。事实上,每台与互联网相连的计算机都使用域名系统,其工作原理与电话系统把来电接入特定电话号码相类似。

  卡明斯基表示:“人们应当了解此事,但也不必大为恐慌,我们已争取到足够时间供用户测试和安装补丁。如此重大的互联网漏洞,以前还从未有过。”卡明斯基为专门创建了一个网页,可供网民检查各自电脑是否存在该DNS漏洞,网址为www.doxpara.com。今年3月,共有16名计算机专家在微软举行碰头会,以就修补该漏洞交换意见,卡明斯基就是16位专家之一。

  卡明斯基称,利用上述DNS漏洞,黑客们不但可以攻击企业用户的内部计算机网络,而且还可窃取用户电子邮件和其他机密商业数据。除美国政府外,卡明斯基组成的16人专家小组还向其他国家政府通报了上述情况,并向这些国家发送了相应软件补丁。业界专家表示,在发现互联网架构性漏洞问题上,卡明斯基立了大功。

━━━━━━━━━━━━━━━━━━━━━━━━━━

微软名称:KB951748
安全公告号:MS08-037
最高严重等级:重要
漏洞的影响:现已确认有一个安全问题,远程攻击者可能会利用此问题曲解 Microsoft Windows 系统上的用户所不知道的系统操作或行为。
安装源文件大小:1.04MB
漏洞描述:此安全更新可解决 Windows 域名系统 (DNS) 中两个秘密报告的漏洞,这些漏洞可允许欺骗。 DNS 客户端和 DNS 服务器中均存在这些漏洞,这些漏洞可能会允许远程攻击者将 Internet 上针对系统的网络通信重定向至攻击者自己的系统。
补丁官方下载地址:
http://download.microsoft.com/download/9/3/0/930984ec-6d19-45c1-9056-d654b4d2073f/WindowsXP-KB951748-x86-CHS.exe
补丁官方下载页面:
http://www.microsoft.com/china/technet/security/bulletin/ms08-037.mspx

发表评论

/ 快捷键:Ctrl+Enter
加载中……