Symantec的工程师Eric Chien表示，当前，作为一种可以在桌面显示一些类似天气预报的实用信息的桌面工具，gadget和widget，正逐渐流行起来。这是一个隐患，它们可能成为下一个重大的安全威胁。

　　当前比较流行的这类软件有Google gadgets和Yahoo widgets，它们一般可以实时地以图形的方式显示当前电池状态、天气情况、证券价格等最新的信息。Chien表示：“它们不同于以往的插件和sandboxed applet，它们是独立和完整的应用程序，这使得它们更加具有被攻击的可能。”Gadget驻留在桌面或者工具栏中，它可以用类似于JavaScript或者VBScript一类的脚本语言编写，也可以用C++或者C#一样的程序语言编写。尽管从外表上看起来gadget和widget并没有太多的危险，但是事实上它们和一般的应用程序一样，具有对系统进行操作的所有权限，包括进行一些恶意的攻击。比如安置木马，扩散蠕虫或者其他病毒等等。使用某些gadget的API甚至可以使用一些原本需要身份认证的服务，比如gadget可以搜集系统的信息，截获键盘和浏览器数据，并且通过电子邮件或者即时通信工具等把这些信息传播出去。”

　　Chien还介绍说：“因为所有的gadget都支持JavaScript，所以很可能出现跨平台感染的可能。一个Yahoo的gadget可能会感染一个Vista的gadget”Windows Vista使用了Sidebar技术，这种技术提供了对gadget的支持，这让gadget成为了一个很好的被攻击的目标。当然，尽管建立一个恶意gadget并不困难，但是当前gadget之间病毒的感染和传播还不算是个很大的威胁，因为毕竟使用gadget框架的用户的数量还相当少。

　　微软（新西兰）的市场经理David Rayner说：“使用gadget不存在增加系统危险的问题，它的危险性同在网上下载其他的任何文件的危险性是一样的。新推出的Windows Vista会是安全性最好的一个Windows版本”。

　　David Rayner还表示在1月30号会有一些gadget会随着Vista一起发布。Gadget的代码是可以被察看的，因此对于一个了解这种代码的人来说，会很容易检测到恶意的gadget。但是另一方面来说，由于许多的gadget都是用脚本语言编写的，要想在现有的gadget基础上添加附加内容也非常容易。有些gadget框架会限制对gadget代码的修改，但是在Vista中并没有这样的功能。

　　Chien提醒目前的gadget用户，只安装从可信地点得到的gadget，而且在使用它之前先考虑清楚是不是真正有必要使用它。

　　上文中Chien的讲述源自去年十二月他在AVAR (Association of Anti-virus Asia Researchers)讨论会上的发言。

　　

　　=============================================

　　原文作者：Ulrika Hedquist

　　原文来源：Computerworld

　　原文链接：http://www.networkworld.com/news/2007/012307-widgets-the-next-big-
security.html?page=1

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: