本周四，一家名為Vupen Security的網(wǎng)安公司發(fā)現(xiàn)了Opera10.5及更低版本瀏覽器中的一個(gè)緩沖區(qū)溢出漏洞，消息發(fā)布以后，各界紛紛表示該漏洞可能會(huì)導(dǎo)致嚴(yán)重的安全問(wèn) 題，攻擊者可以利用這個(gè)漏洞遠(yuǎn)程控制被攻擊的電腦執(zhí)行惡意代碼。這家公司目前為止尚未透露該漏洞的細(xì)節(jié)，不過(guò)Opera公司的發(fā)言人則表示該漏洞只會(huì)使瀏 覽器崩潰，但未必會(huì)嚴(yán)重到可令攻擊者遠(yuǎn)程執(zhí)行惡意代碼的程度。

Opera公司的發(fā)言人 Thomas Ford表示："我們認(rèn)為該漏洞的主要危害是會(huì)導(dǎo)致瀏覽器崩潰，而要想利用這個(gè)漏洞來(lái)遠(yuǎn)程執(zhí)行惡意代碼則難度非常大。“不僅如此，他還表示用戶還可以利用系統(tǒng)的其它安全技術(shù)如DEP功能等來(lái)有效防止惡意代碼的執(zhí)行。

不過(guò)這里有一個(gè)問(wèn)題是，一般Windows操作系統(tǒng)在使用時(shí)，DEP功能不是默認(rèn)開啟的。使用Windows XP的用戶可以點(diǎn)擊這個(gè)鏈接了解你的系統(tǒng)是否開啟了DEP功能；而Vista/Windows7的用戶則可分別點(diǎn)擊這個(gè)鏈接和這個(gè)鏈接了解。這項(xiàng)功能開啟后，可防止第三方軟件廠商開發(fā)的代碼被系統(tǒng)執(zhí)行。

蘋果的Mac OSX也有類似的保護(hù)機(jī)制，而且在Mac OSX中會(huì)自動(dòng)開啟針對(duì)Opera瀏覽器的保護(hù)功能。

但目前已經(jīng)有人發(fā)現(xiàn)了繞過(guò)DEP,以及另外一項(xiàng)類似的保護(hù)技術(shù)ASLR（內(nèi)存地址空間分布隨機(jī)化技術(shù)）的方法，不過(guò)目前為止，這種方法的實(shí)施難度對(duì)普通黑客而言相當(dāng)之高。

Ford并表示Opera目前已經(jīng)在開發(fā)對(duì)應(yīng)該漏洞的更新補(bǔ)丁。

【編輯推薦】

1. NSS實(shí)驗(yàn)室測(cè)試：IE瀏覽器可有效阻止網(wǎng)絡(luò)攻擊 谷歌Chrome次之
2. Firefox 3.6的“零日漏洞” 至今未被修補(bǔ)
3. 微軟下周二將發(fā)布3月安全公告 修復(fù)8漏洞但不包含F(xiàn)1