這不是大多數人能夠理解的廣告:出售:“我們針對Win8+IE10的第一個零日攻擊安全漏洞,可繞過Windows 8中的HiASLR/AntiROP/DEP & Prot模式等沙盒技術(不需要Flash)。”這是一家名為Vupen的法國公司最近在Twitter網站上發布的信息的一部分。這家公司專門發現微軟、Adobe、蘋果和甲骨文等公司廣泛應用的軟件中的安全漏洞。
Vupen處于計算機安全研究的一個灰色領域,向政府和企業的審查機構出售安全漏洞,但是,不共享受影響的軟件廠商的細節情況。這家公司宣稱,它的信息能夠幫助組機構防御黑客攻擊并且在某些情況下還能實施攻擊。
Vupen已經發現微軟新的Windows 8操作系統和IE 10瀏覽器中的某個地方存在一個問題。這個安全漏洞還沒有公開披露。微軟也沒有修復這個漏洞。
Vupen的發現是最新發布的Windows 8和IE 10的第一批問題之一,盡管在Windows 8平臺上運行的其它第三方軟件業也發現了安全漏洞。
微軟可信計算主管戴夫·福斯特洛姆(Dave Forstrom)表示,微軟鼓勵研究人員參加其“協調的安全漏洞披露”計劃。這個計劃要求有關人員在公開披露安全漏洞之前給微軟一些修復軟件漏洞的時間。
福斯特洛姆在聲明中稱,我們看到了Twitter網站上發表的那個微博。但是,他們沒有與我們共享進一步的信息。
Vupen上周三在Twitter網站發表的信息暗示這個安全漏洞會讓黑客繞過Windows 8中包含的安全技術,包括熵值較高的地址空間布局隨機化(Address Space Layout Randomization)、反返回導向編程(Return Oriented Programming,ROP)和DEP(數據執行保護)等安全措施。這家公司還指出,這個安全漏洞不依賴于Adobe System的Flash多媒體程序的問題。
nCircle安全運營主管安德魯·斯道姆思(Andrew Storms)稱,如果這個安全漏洞被證實,那么,微軟剛剛發布Windows 8就在它宣傳為最安全的軟件平臺中發現安全漏洞將是微軟的一個恥辱。
由于最近Windows 8的發布,成功地利用安全漏洞的市場機會是有限的,但是,另一方面,沒有人證實這個安全漏洞對于老版本Windows或者IE瀏覽器是否有效。
位于澳大利亞悉尼的安全公司HackLabs的滲透測試者和高級顧問喬迪·墨爾本(Jody Melbourne)稱,這個安全漏洞對于有興趣竊取代碼簽名證書或者源代碼的第三方微軟開發人員是有用的。
那么,這個安全漏洞值多少錢?現在很難說。Vupen沒有發布公開的價格表。但是,墨爾本表示,如果這個安全漏洞在Vupen網站顯示更長的時間并且沒有其他人發現這個安全漏洞,這個安全漏洞的價格將隨著時間的推移而增加。
推薦閱讀
原iOS軟件部門負責人福斯特爾與蘋果首席設計師艾維“水火不容”,曾多次故意缺席對方私人會議,而蘋果已故聯合創始人喬布斯也曾多次居中協調兩人關系。 北京時間11月06日消息,蘋果公司近日經歷高層人事動蕩,確認由>>>詳細閱讀
地址:http://www.xglongwei.com/a/xie/20121229/112130.html
網友點評
精彩導讀
科技快報
品牌展示