据业界某些安全公司称,针对微软Word软件的第三个安全漏洞已经出现了,而且一位安全研究员已经公布了一个可以利用那个安全漏洞发起攻击的恶意代码。
Secunia公司和McAfee公司在星期四称,Word软件中存在一个缓存溢出式安全漏洞,攻击者利用这个漏洞发起攻击可以导致用户系统崩溃并在用户系统上运行任意的恶意代码。
但是微软公司在星期四说,它还没有最终证实这个安全漏洞的存在。微软公司表示目前仍在调查之中。
这已经是两周以来出现的第三个关于Word软件的漏洞。据Secunia公司的安全建议书称,前两个零时攻击安全漏洞也跟内存错误问题有关。 微软公司称,到目前为止,这些尚未修复的安全漏洞还没有被用于大范围攻击,只是见于对有限范围内的针对性目标的攻击。
Secunia公司的首席技术官Thomas Kristensen说:“到目前为止,只有攻击者、被攻击者以及微软公司知道如何利用这些安全漏洞发起攻击。”
随着第三个安全漏洞的出现,问题开始变得更加严重了。一位自称“Disco Jonny”的软件分析师已经发布了一种概念验证型代码,似乎可以利用这个安全漏洞发起攻击。
Disco Jonny在接受电子邮件采访时说:“我发布的文件将对微软公司Word软件产生重大的影响。熟悉软件的人拿到这个文件后可以利用它来发动网络攻击。 然后攻击者就可以在目标系统上运行某些受控的代码,从而控制住目标系统。”
同样,黑客们还可以将这种概念验证型代码当作模板来发动恶意攻击。McAfee公司的安全研究与通讯经理Dave Marcus说:“它可以利用第三个安全漏洞,但是具体这种代码是如何工作的我们还不太清楚。”
Disco Jonny说,他并不知道前两种关于Word软件的安全漏洞的特征资料。微软公司已经发布了关于其中一个安全漏洞的安全建议书,对另一个安全漏洞也发表了一篇博客文章,但是那些资料中并没有包括太多具体的资料。
Disco Jonny说:“我跟其他人谈过之后,我非常确信这第三个安全漏洞与前两个安全漏洞没什么关系。这确实是Word软件中的第三个、以前没有发现的安全漏洞。 当然,在无法获知前两个安全漏洞的资料的情况下,我也不能百分之百地下断言。”
[责任编辑:KV_ddvip]
本栏更新相关链接