(http://www.epochtimes.com)
【大紀元3月16日訊】Linux及Unix系統數据壓縮用的一項開放原始碼軟件的安全瑕疵,可能會感染到使用相同程序代碼的微軟產品。
ZDNet China 3月15日消息,在zlib(泛用型數据壓縮鏈接庫)里,可能讓許多以Linux為基礎的系統受到攻擊。
周四,研究員報導,至少有九款微軟的主要應用軟件–包括Office、IE、DirectX、Messenger,及Front Page–顯然整合借用一些壓縮鏈接庫里的程序代碼,而且可能也會有同樣的漏洞而受到攻擊。
微軟的代表表示,公司的安全反應小組正在研究zlib瑕疵,以及使用了壓縮鏈接庫的微軟應用軟件。但是,微軟目前還未确定有那些應用軟件使用了該鏈接庫,以及這些軟件是否有漏洞。
公司代表表示,「還不排除應用軟件受感染的可能。」
在將近十年來,zlib鏈接庫曾經是基礎開放原始碼軟件的組件,几乎在所有Linux及Unix系統里都可找到。也就是說,這种「雙重自由」的瑕疵可能讓Linux及Unix有了很大的漏洞可能遭受攻擊。因為采用了部份這种程序代碼,微軟也可能會有這种漏洞。
開放原始碼壓縮計畫的成員Gzip,已經貼出了將近600個應用程序,都是以偵測程序認定使用到zlib程序代碼的。九款微軟的應用程序也名列其中,包括了Directx 8、FrontPage,下一代的繪圖裝置接口(Graphics Device Interface)、InstallShield、IE、Office、NetShow、Visual Studio,以及Messenger。
下一代的繪圖裝置接口是微軟Windows XP的一部份,也就是說這個操作系統本身可能也會有危險。
這個偵測程序使用了在zlib軟件中所找到的三個程序代碼簽名字符串–而且為了深入探究,有些還更多–藉此來決定鏈接庫中的功能是否存在特定的程序里。例如,zlib鏈接庫創作者之一的Jean-loup Gailly,同時也是計算机影像辨識公司Vision IQ的軟件架构長,他表示,微軟的Direct X包含了18個可認定為出自zlib的錯誤訊息。
Gailly表示,微軟也受到感染,但可能不見得有漏洞。他說,這要看微軟怎樣在zlib上寫進其它軟件的鏈接庫。
IDC分析師Dan Kunsnetzky表示,使用開放原始碼社群程序代碼的公司,必需一直為這种安全問題檢查程序代碼。
他說,有些開放原始碼產品經過嚴格的測試,因此較不會有漏洞;但有些則沒有,因此可能會隨后發現到包含一些讓公司飲恨的瑕疵。Zlib鏈接庫的瑕疵顯示出,甚至是經過嚴格測試的軟件,還是可能會有安全上的問題。
Zlib鏈接庫的授權方式公布在网絡上,它容許任何公司以任何方式去使用它。和GNU General Public License(通用公用許可證)不一樣的是,該鏈接庫并不要求采用的公司以釋出自己的原始碼做為交換。
然而,這項意外似乎證明了,盡管微軟公開詆毀開放原始碼,但它還是借用他人的軟件在開發自己的產品。而這也不是微軟第一次采用開放的原始碼。
有些程序設計師已經表示,一种名為GS標示的技術,微軟就把它放到自己最新的編譯器里,用來避免一般的程序錯誤,事實上這就是借用StackGuard計划里的開放原始碼。
微軟借用SackGuard的功能是很有爭議性的,StackGuard的作者同時也是Wirec通訊公司的服務器軟件的首席研究Crispin Cowan在二月寫給CNET News.com的電子郵件里如此表示,
而去年夏季所揭發出來的證据顯示,Windows操作系統借用了一些网絡工具以及TCP/IP stack的一部份,這是一种网絡及网際网絡的聯机軟件,來自開放原始碼Unix旁支的FreeBSD。
Theo de Raadt是開放原始碼Unix旁支的OpenBSD的創辦然人兼項目領導,他強調沒有最后的證据可以顯示,「已經反复質問,但還是沒有取得證据。」
微軟從來就沒否認說它會使用開放原始碼軟件,只是它禁止其程序設計師采用以GNU通用公用許可證為基礎的程序代碼,因為其合約要求公司公開自己的原始碼。(http://www.dajiyuan.com)
相關文章