微軟不愿修復(fù)Windows漏洞 用戶都將受到攻擊

    據(jù)報(bào)道稱，許多開發(fā)人員（包括微軟的）濫用Windows的重要功能導(dǎo)致許多應(yīng)用程序因裝載組件的方式而受到攻擊。

    這個(gè)問題是上個(gè)星期首次出現(xiàn)的。當(dāng)時(shí)，Rapid7首席安全官和開源軟件Metasploit黑客工具的制作者HD Moore說，他發(fā)現(xiàn)了包括Windows Shell在內(nèi)的40個(gè)有漏洞的應(yīng)用程序。一天之后，斯洛文尼亞的安全公司Acros說，在它從2008年12月開始實(shí)施的一項(xiàng)調(diào)查中，該公司發(fā)現(xiàn)了200個(gè)有漏洞的Windows應(yīng)用程序。

    所有這些研究人員都指出，由于軟件裝載Windows動態(tài)鏈接庫（即.dll擴(kuò)展名的文件）以及.exe和.com為擴(kuò)展名的可執(zhí)行文件的方式存在問題，黑客能夠利用許多Windows應(yīng)用程序的安全漏洞。如果黑客在應(yīng)用程序搜索的一個(gè)目錄中植入偽裝的惡意軟件，當(dāng)應(yīng)用程序查找一個(gè).dll、.exe或者.com文件時(shí)，黑客就能劫持用戶的PC。

    Kwon星期一說，他在包括Office 2007、Adobe Reader和所有主要的瀏覽器在內(nèi)的Windows程序中發(fā)現(xiàn)了將近30個(gè)安全漏洞之后，他曾在2009年8月向微軟報(bào)告了這個(gè)問題。

    在Kwon與微軟安全反應(yīng)中心的工程師就遠(yuǎn)程可執(zhí)行代碼的安全漏洞問題進(jìn)行的交流過程中，微軟對他說，微軟不會發(fā)布安全補(bǔ)丁，而是通過未來推出的Windows和Office的服務(wù)包來解決這個(gè)問題。

    Kwon說，微軟不愿意提供補(bǔ)丁是因?yàn)樵斐蛇@種安全漏洞的根本原因是其它廠商的產(chǎn)品。微軟還告訴他說，微軟打算與那些包含安全漏洞的軟件的廠商進(jìn)行合作。

    斯洛文尼亞的安全公司星期一在博客中說，根據(jù)我們的研究結(jié)果，我們可以肯定地說，所有的Windows用戶都可能受到通過至少一種二進(jìn)制代碼植入安全漏洞實(shí)施的攻擊。

    微軟對于Kwon所說的該公司不愿意或者不能通過修復(fù)Windows漏洞解決這個(gè)問題的說法不愿意發(fā)表評論。