AVG Technologies的首席研究专家罗杰.汤普森昨天表示"这比Conficker攻击利用的漏洞要更加严重。它把整个世界暴露在危险之中并且可以通过防火墙被攻破。一旦Conficker进入网络内部多数都会造成伤害"。
去年1月爆发的Conficker蠕虫感染了数百万台计算机,微软公司如果认为Windows操作系统中打过补丁的漏洞不够安全,就会不按照常规的升级日程来对其进行修正。
这种蠕虫会劫持大量的计算机(预计波及的数量高达1200万台),然后散布到大规模的僵尸网络中用来传播木马,植入伪造的防病毒软件或者滥发数量庞大的垃圾邮件。
汤普森担心的漏洞存在于微软视频控制器ActiveX Library或者"msvidctl.dll"文件,一种使用IE浏览器来访问的ActiveX控制。虽然自从6月9号以来漏洞就被黑客所利用,但是直到中国和丹麦的几家安全公司报告说数千家网站存在风险时,本周漏洞才进入公众的视野。
周一微软公司在安全建议书中承认了漏洞的存在,微软公司表示他们会发行补丁,并提供自动工具帮助用户在Windows注册表中设置将近四十个killbits来激活ActiveX控制。
汤普森表示"这对于大规模被感染的用户来说是个好消息"。
漏洞对于黑客是个绝佳的选择,这么说的原因之一是它没有被打补丁。当Conficker攻击首次出现时,微软就对它所利用的系统缺陷进行了补丁修正。不过还有大量的计算机没有对漏洞修正进行升级。
汤普森并没有妄自猜测微软是否会及时发布修正并将其补充到下周二推出的补丁中,这也是7月份常规发布补丁的日期。汤普森表示"但是我非常确信微软正在尽自己的努力"。
目前微软承认IBM的ISS X-Force研究专家们在2008年报告的漏洞,但是没有透露日期。ISS X-Force研究专家在2008年底公布了漏洞,并把它记录在当年11月的CVE数字当中。研究专家之一亚历克斯.惠勒目前是3Com TippingPoint DVLabs的管理者,他根据保密协议拒绝透露ISS向微软汇报漏洞的日期。
微软拒绝回答为什么在知道漏洞长达半年的时间都没有对ActiveX漏洞打补丁的问题。微软发言人今天在电子邮件中表示"2008年我们收到警报时,就立即开始着手调查。因为我们想彻底解决这个问题,这就需要花费额外的时间来进行全面的评估"。
由于ActiveX control和"msvidctl.dll"文件是微软自己的代码,微软需要的额外时间可能就存在不确定性,这是不正常的。汤普森表示"这是微软.dll首次出现问题,自从2007年4月ANI漏洞出现以来,.dll和Adobe就成为攻击的目标"。
在"user32.dll"文中发现的Windows活动指针漏洞在微软收到希腊风险研究专家Alexander Sotirov的警报后,100多天以后才打了补丁。微软打破了他们按月定期升级的日程规定,对ANI漏洞发行了一个补丁。
汤普森表示"这并不是这个世界的终结。但是我很惊讶的看到Conficker攻击2.0版本的出现,看起来是自定义代码"。
运行Windows XP或Windows Server 2003操作系统的计算机存在通过IE6和IE7浏览器发动攻击的漏洞。Windows Vista和Windows 7系统不存在风险,运行IE8或者Mozilla的Firefox和谷歌Chrome浏览器的用户也是安全的。