×

Loading...
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。

开放原代码漏洞曝光 微软产品跟着遭殃

本文发表在 rolia.net 枫下论坛  Linux及Unix系统数据压缩用的一项开放原始码软件的安全瑕疵,可能会感染到使用相同程序代码的微软产品。
本周稍早之前CNET News.com报导,在zlib(泛用型数据压缩链接库)里,可能让许多以Linux为基础的系统受到攻击。
周四,研究员报导,至少有九款微软的主要应用软件──包括Office、IE、DirectX、Messenger,及Front Page──显然整合借用一些压缩链接库里的程序代码,而且可能也会有同样的漏洞而受到攻击。
微软的代表表示,公司的安全反应小组正在研究zlib瑕疵,以及使用了压缩链接库的微软应用软件。但是,微软目前还未确定有那些应用软件使用了该链接库,以及这些软件是否有漏洞。
公司代表表示,还不排除应用软件受感染的可能。
在将近十年来,zlib链接库曾经是基础开放原始码软件的组件,几乎在所有Linux及Unix系统里都可找到。也就是说,这种双重自由的瑕疵可能让Linux及Unix有了很大的漏洞可能遭受攻击。因为采用了部份这种程序代码,微软也可能会有这种漏洞。
开放原始码压缩计画的成员Gzip,已经贴出了将近600个应用程序,都是以侦测程序认定使用到zlib程序代码的。九款微软的应用程序也名列其中,包括了Directx 8、FrontPage,下一代的绘图装置接口(Graphics Device Interface)、InstallShield、IE、Office、NetShow、Visual Studio,以及Messenger。
下一代的绘图装置接口是微软Windows XP的一部份,也就是说这个操作系统本身可能也会有危险。
这个侦测程序使用了在zlib软件中所找到的三个程序代码签名字符串──而且为了深入探究,有些还更多──藉此来决定链接库中的功能是否存在特定的程序里。例如,zlib链接库创作者之一的Jean-loup Gailly,同时也是计算机影像辨识公司Vision IQ的软件架构长,他表示,微软的Direct X包含了18个可认定为出自zlib的错误讯息。
Gailly表示,微软也受到感染,但可能不见得有漏洞。他说,这要看微软怎样在zlib上写进其它软件的链接库。
IDC分析师Dan Kunsnetzky表示,使用开放原始码社群程序代码的公司,必需一直为这种安全问题检查程序代码。
他说,有些开放原始码产品经过严格的测试,因此较不会有漏洞;但有些则没有,因此可能会随后发现到包含一些让公司饮恨的瑕疵。Zlib链接库的瑕疵显示出,甚至是经过严格测试的软件,还是可能会有安全上的问题。
Zlib链接库的授权方式公布在网络上,它容许任何公司以任何方式去使用它。和GNU General Public License(通用公用许可证)不一样的是,该链接库并不要求采用的公司以释出自己的原始码做为交换。
然而,这项意外似乎证明了,尽管微软公开诋毁开放原始码,但它还是借用他人的软件在开发自己的产品。而这也不是微软第一次采用开放的原始码。
有些程序设计师已经表示,一种名为GS标示的技术,微软就把它放到自己最新的编译器里,用来避免一般的程序错误,事实上这就是借用StackGuard计画里的开放原始码。
微软借用SackGuard的功能是很有争议性的,StackGuard的作者同时也是Wirec通讯公司的服务器软件的首席研究Crispin Cowan在二月写给CNET News.com的电子邮件里如此表示,
而去年夏季所揭发出来的证据显示,Windows操作系统借用了一些网络工具以及TCP/IP stack的一部份,这是一种网络及网际网络的联机软件,来自开放原始码Unix旁支的FreeBSD。
Theo de Raadt是开放原始码Unix旁支的OpenBSD的创办然人兼项目领导,他强调没有最后的证据可以显示,「已经反复质问,但还是没有取得证据。」
微软从来就没否认说它会使用开放原始码软件,只是它禁止其程序设计师采用以GNU通用公用许可证为基础的程序代码,因为其合约要求公司公开自己的原始码。更多精彩文章及讨论,请光临枫下论坛 rolia.net
Report

Replies, comments and Discussions:

  • 工作学习 / IT杂谈 / 开放原代码漏洞曝光 微软产品跟着遭殃
    本文发表在 rolia.net 枫下论坛  Linux及Unix系统数据压缩用的一项开放原始码软件的安全瑕疵,可能会感染到使用相同程序代码的微软产品。
    本周稍早之前CNET News.com报导,在zlib(泛用型数据压缩链接库)里,可能让许多以Linux为基础的系统受到攻击。
    周四,研究员报导,至少有九款微软的主要应用软件──包括Office、IE、DirectX、Messenger,及Front Page──显然整合借用一些压缩链接库里的程序代码,而且可能也会有同样的漏洞而受到攻击。
    微软的代表表示,公司的安全反应小组正在研究zlib瑕疵,以及使用了压缩链接库的微软应用软件。但是,微软目前还未确定有那些应用软件使用了该链接库,以及这些软件是否有漏洞。
    公司代表表示,还不排除应用软件受感染的可能。
    在将近十年来,zlib链接库曾经是基础开放原始码软件的组件,几乎在所有Linux及Unix系统里都可找到。也就是说,这种双重自由的瑕疵可能让Linux及Unix有了很大的漏洞可能遭受攻击。因为采用了部份这种程序代码,微软也可能会有这种漏洞。
    开放原始码压缩计画的成员Gzip,已经贴出了将近600个应用程序,都是以侦测程序认定使用到zlib程序代码的。九款微软的应用程序也名列其中,包括了Directx 8、FrontPage,下一代的绘图装置接口(Graphics Device Interface)、InstallShield、IE、Office、NetShow、Visual Studio,以及Messenger。
    下一代的绘图装置接口是微软Windows XP的一部份,也就是说这个操作系统本身可能也会有危险。
    这个侦测程序使用了在zlib软件中所找到的三个程序代码签名字符串──而且为了深入探究,有些还更多──藉此来决定链接库中的功能是否存在特定的程序里。例如,zlib链接库创作者之一的Jean-loup Gailly,同时也是计算机影像辨识公司Vision IQ的软件架构长,他表示,微软的Direct X包含了18个可认定为出自zlib的错误讯息。
    Gailly表示,微软也受到感染,但可能不见得有漏洞。他说,这要看微软怎样在zlib上写进其它软件的链接库。
    IDC分析师Dan Kunsnetzky表示,使用开放原始码社群程序代码的公司,必需一直为这种安全问题检查程序代码。
    他说,有些开放原始码产品经过严格的测试,因此较不会有漏洞;但有些则没有,因此可能会随后发现到包含一些让公司饮恨的瑕疵。Zlib链接库的瑕疵显示出,甚至是经过严格测试的软件,还是可能会有安全上的问题。
    Zlib链接库的授权方式公布在网络上,它容许任何公司以任何方式去使用它。和GNU General Public License(通用公用许可证)不一样的是,该链接库并不要求采用的公司以释出自己的原始码做为交换。
    然而,这项意外似乎证明了,尽管微软公开诋毁开放原始码,但它还是借用他人的软件在开发自己的产品。而这也不是微软第一次采用开放的原始码。
    有些程序设计师已经表示,一种名为GS标示的技术,微软就把它放到自己最新的编译器里,用来避免一般的程序错误,事实上这就是借用StackGuard计画里的开放原始码。
    微软借用SackGuard的功能是很有争议性的,StackGuard的作者同时也是Wirec通讯公司的服务器软件的首席研究Crispin Cowan在二月写给CNET News.com的电子邮件里如此表示,
    而去年夏季所揭发出来的证据显示,Windows操作系统借用了一些网络工具以及TCP/IP stack的一部份,这是一种网络及网际网络的联机软件,来自开放原始码Unix旁支的FreeBSD。
    Theo de Raadt是开放原始码Unix旁支的OpenBSD的创办然人兼项目领导,他强调没有最后的证据可以显示,「已经反复质问,但还是没有取得证据。」
    微软从来就没否认说它会使用开放原始码软件,只是它禁止其程序设计师采用以GNU通用公用许可证为基础的程序代码,因为其合约要求公司公开自己的原始码。更多精彩文章及讨论,请光临枫下论坛 rolia.net
    • m$ 不愿公开源码是拍引起安全性的雪崩.
      • 一个公司不公开自己的源代码是很正常的啊,在其它行业也一样。哪有把自己的技术全部公开,这叫什么事!那些公开源代码的公司其实做法和商业上的恶性竞争差不多。只不过他们不全靠软件吃饭。