Linux系統(tǒng)存在與Windows同樣的安全漏洞
近日,微軟稱它會修復Windows安全漏洞以減少新的基于網(wǎng)絡的安全風險。但是,安全研究人員稱,其它操作系統(tǒng)可能也有同樣的安全風險。
一直在認真研究這個問題的安全研究人員之一Nathan McFeters稱,他希望在本星期在圣地亞哥舉行的Toorcon黑客會議上介紹Linux和Mac OS X等其它基于Unix的操作系統(tǒng)也存在URI(統(tǒng)一資源識別符)協(xié)議處理程序安全漏洞的細節(jié)。
McFeters在采訪中表示,他還沒有發(fā)現(xiàn)在基于Unix的操作系統(tǒng)上運行非授權代碼的方法。但是,他和他的同事也經(jīng)發(fā)現(xiàn)了許多問題,值得對這個問題展開進一步的研究。
McFeters和其他研究人員在過去的幾個月里一直研究用來在網(wǎng)絡瀏覽器中啟動應用程序的URI協(xié)議處理技術中的問題。這些協(xié)議中最著名的一個協(xié)議也許是mailto。這個協(xié)議用來在瀏覽器中啟動電子郵件客戶端軟件。
但是,任何軟件開發(fā)人員都能夠向操作系統(tǒng)注冊自己的應用程序。這就導致了一些風險狀況,因為從瀏覽器中啟動應用程序有時候沒有對這些應用程序的執(zhí)行方法進行適當?shù)臋z查。
到目前為止,黑客已經(jīng)找到了一些方法通過在利用一些知名的應用軟件中的URI協(xié)議的網(wǎng)絡連接中偷偷地加入指令在用戶計算機上執(zhí)行未經(jīng)授權的軟件。微軟原來稱,軟件開發(fā)商要保證它們的軟件程序檢查這種鏈接,防止其中包含惡意代碼。但是,微軟上周表示它也將在Windows操作系統(tǒng)中增加一些檢查措施。
McFeters是Ernst & Young全球公司的安全研究人員。他表示,這些協(xié)議通常沒有必要進行注冊并且很少考慮到安全問題。即使設計不佳的URI協(xié)議注冊不被用來安裝非授權的軟件也會給攻擊者提供訪問數(shù)據(jù)和應用程序的機會。
Secunia ApS公司首席技術官Thomas Kristensen也贊成URI協(xié)議處理程序問題可能會影響到Linux和Mac OS X操作系統(tǒng)的觀點。他說,其它平臺也存在同樣的問題是絕對有可能的。
【編輯推薦】
