【大纪元8月24日讯】URI 浏览器缺陷比原先设想的更严重
(大纪元记者高以用编译报导)视窗作业系统通过URI (Uniform Resource Identifier,统一资源标识符)协议处理技术让过浏览器来执行程式。URI技术鲜为人知,但网络安全研究人员发现它会给网路冲浪者带来很大的安全问题。
Thor Larholm最早发现URI技术会被人利用发送不良信息给火狐(Firefox)浏览器,允许攻击者在受害者的个人电脑上执行未经允许的软体。过去数月以来,URI 臭虫已成为了热门话题。随后,其他研究人员也发现了其它浏览器和应用程式也能被滥用而达到类似的目的。
根据Infoworld的消息,研究人员Billy Rios 和Nathan McFeters 现在发现有很多种方式可以利用URI技术来窃取受害者电脑上的资料。
虽然他们不会说出该对软体负责任的公司名字,但研究员说他们在一个广泛被应用的程式中发现了一个主要缺陷,那个程式可能被滥用来从受害者的电脑窃取资料。
Ernst &Young全球有限公司资深安全顾问McFetters说,“透过URI从用户的机器窃取到内容,然后将内容上传到一台攻击者所选择的远端服务器是可能做得到的。” “这是透过应用程式提供的功能可以做到的事。”
Rios 和McFetters 计划在贩卖者有机会解决问题之后发布他们的研究结果。
“这是骇客的梦想,但却是程式员的恶梦。”Shavlik科技的首席安全设计者Eric Schultze如此表示,他认为6到9个月后,骇客就会找到利用这些漏洞的方法。
借着URI 协议技术,软体开发商设法让他们的顾客生活更简单些。视窗注册表会记住这些协议的名字,把它们和相应的应用程式联系起来。因此,以后但这些URI名字在浏览器中被叫到时,相应的应用程式就开始执行。
问题是,软体开发商急于使他们能应用,而没有适当地考虑到他们可能被攻击者滥用。McFetters认为这些URI 问题很复杂。
微软正在教育用户和开发商关注这些安全问题,但它所能做的也只有那样了。微软程式安全经理Mark Griesi这样说。
Griesi认为没有必要因为URI 问题而修改视窗系统或者IE浏览器,因为那是独立软体开发商的程式被滥用了。
(http://www.dajiyuan.com)
