2010年9月24日 星期五

你的 PC 安全嗎?零時弱點網站告訴你

http://www.zdnet.com.tw/news/web/0,2000085679,20147660,00.htm
2010/09/24 12:58:01 ZDNet新聞專區:Elinor Mills

你認為自己的電腦有多安全?你可能只依賴微軟和蘋果等軟體商,不定時地通知你安裝更新。但在修補程式發佈前,已知漏洞(或稱零時差弱點)已讓你的電腦坐待攻擊。透過電郵和不經意瀏覽的網站,惡意程式即可潛入你的電腦。

EEye Digital Security日前成立一個列出已知零時差弱點,並提供既有修補程式資料庫的網站。 Zero Day Tracker集結了已公開之安全漏洞訊息,包括受影響的軟體、嚴重程度、潛在衝擊、替代方案和其他防護方法的建議。

eEye共同創辦人兼技術長Marc Maiffret表示,這個免費網站提供零時差資訊的「一站式服務」。他說:「長期以來,唯一提供零時差訊息的公司就是微軟,Adobe則是最近才加入。但還有許多公司的零時差弱點都沒有被通報。」

目前使用最廣泛的軟體弱點資料庫,是美國國土安全部轄下國家網路安全部/US-CERT贊助、美國國家標準與科技協會負責管理的國家弱點資料庫(National Vulnerability Database)。但你必須自己搜尋資料,查看哪些弱點尚未修補。

Zero Day Tracker以時間順序,列出尚未修補的漏洞。目前有21個零時差漏洞,除了兩個分別出自2006年和2005年,其餘全是2010年才曝光的弱點。 2005年11月曝光的漏洞,影響Windows 2000系統。Maiffret說:「一如預期,微軟是2010年未修補零時差弱點最多的公司。」前一年也是,但Adobe有急起直追之勢。

針對蘋果系統被列出的弱點稀少,Maiffret表示,那反映出蘋果的市場比Windows小很多,不代表Mac軟體較安全。他說:「與微軟和微軟相關的軟體相比,蘋果的零時差弱點少很多,但那絕不代表Mac沒有弱點。」攻擊者寧願把時間和精力花在90%的使用者身上。

Adobe最近剛修補一個Flash Player的零時差弱點,微軟也用緊急更新,防堵一個散播Stuxnet蠕蟲的漏洞。Stuxnet可利用三個Windows弱點散播,微軟上週解決了一個,還有兩個弱點未補。

Zero Day Tracker也將納入行動軟體的弱點資訊。Maiffret表示:「其中一種iPhone越獄技巧,就是利用一個PDF弱點。那只是行動平台零時差弱點的一個例子。」

除了提供資訊和好用的資源,Maiffret希望公開這些弱點,能促使軟體商儘速修補。他說:「我們要對軟體商施壓。」該公司的資料來源包括軟體商、安全公司,和自行監看地下與海外論壇。Maiffret表示:「我們的消息根據之一,是某個中文討論區的對話。」

軟體商在公布安全漏洞時,通常會宣稱尚未發生大規模攻擊,藉此安撫顧客。但針對Windows、Adobe Reader或IE這類廣泛使用的軟體,攻擊程式的出現和散佈,通常就在弱點曝光的一天之內。

例如上週五,微軟警告其用來製作網站的ASP.NET架構有一嚴重漏洞,但尚未有任何相關攻擊。到週一(20日),微軟便更新其安全公告,表示已發生「有限、主動的攻擊」。

這類攻擊也可能隱藏甚久不被發現。例如透過某個IE漏洞,鎖定Google和數十家公司的Operation Aurora攻擊。Google在2010年1月公佈時,宣稱前一個月才發現,但另一個分析顯示,該攻擊行動在5個月前被初次偵測到,但當時可能鎖定不同 的公司。Maiffret說:「這項弱點在業者發現之前就被利用。有大量的攻擊是我們不知道的,而我們通常是意外發現它們的存在。」(陳智文/譯)


相關新聞