|
|
|
| 纽时:Vista资安出现漏洞
|
| 时间:编辑时间:2006/12/26 出处:中央社 |
纽时:Vista资安出现漏洞 20061226
记者(编译汤淑君/综合旧金山二十五日电)
纽约时报24日报导,微软新版窗口Vista操作系统暗藏瑕疵,特别是内附的新版浏览器有潜在安全漏洞,万一浏览恶意网站就可能引狼入室,导致计算机中毒。
微软已在11月底推出企业版窗口Vis-ta,消费者适用的版本订于明年1月盛大上市。
俄罗斯程序设计师12月15日在网上贴文指出,微软已释出的企业版Vista程序内含瑕疵,可能让黑客利用来提高使用者权限。硅谷计算机安全公司Determina上周末又表示,已发现Vista内含上述瑕疵及另外五项安全弱点,并已通知微软。Determina指出,其中一项是「攸关」微软商誉的重大安全漏洞,潜伏在新版浏览器网络探险家(IE)第七版的程序里。
IE7浏览器的安全漏洞特别令人不安,因为使用者只要逛到埋藏「地雷」的恶意网站,Vista计算机就可能遭到感染,被黑客植入恶意软件,导致密码数据被窃取,或遭其它计算机攻击。
微软宣称Vista的安全性已大幅增强,但资安业者仍存疑。上一版的窗口XP操作系统在历经两次更新组件的亡羊补牢后,安全性才显著改善,但外部防毒研究员仍旧不时揪出新的XP安全漏洞。
微软主管22日声明,正「密切关注」俄罗斯网站描述的安全弱点。这项弱点让Vista及其它窗口版本的普通使用者提高权限,得以完全控制计算机的运作。
微软安全应变中心(MSRC)主管利瓦伊说:「目前,我们尚未发现有人公开利用这个问题从事攻击活动。」 公司发言人米勒23日表示,微软也在调查IE7的问题,但目前也未传出钻此安全漏洞的攻击事件。微软已砸下巨资大肆宣传Vista是该公司历年来最安全的操作系统。万一出状况,微软的商誉可能受损。
IE7内建sandbox技术,可限制恶意程序对操作系统的破坏,照理说会强化Vista安全性。但Determina研究员指出,新发现的第一种弱点让使用者权限升级,若与IE7安全漏洞结合,仍可能回避sandbox的安全防护,而让黑客得逞。
IE7合法网站 披上小绿绿 20061226
记者(编译廖玉玲/综合二十五日电)
明年元月起,微软最新版网络浏览器探险家(Internet Explorer 7)正式推出若干电子商务与银行交易的「绿网址」服务。只要是通过安全认证的合法网站,网址列就会变成绿色。但由于初期只把大型企业的网站纳入这套标准,引发不少争议。
为过滤网络钓鱼诈骗(phising)网站,IE7加入彩色网址设计。只要是经认证为合法或可信赖的网站,网址列就会标示成代表可以通行的绿色,代表网友可以安心在此网站交易。
若要成为IE7的「绿网站」,必须通过VeriSign或Comodo这类授予安全认证给网站的供货商之查核,取得认证。独立审计程序Web Trust的认证也不可少。
长达65页的新版施行准则草案规定,若要取得认证,必须符合下列标准: 合法实体和身分:认证单位必须确定此网站合法,且正式名称符合官方纪录。以其它名称营运的业务,也要一起发给认证。
实体存在:认证单位必须核对申请认证的数据,看看登记地址是否正确。如果不符合就需要实地勘查,看看是否有公司标志或者根本没有办公室。勘查时也要拍照存证。
电话号码:认证单位须确认登记的电话号码为营业所用。
网域名称:为确认此公司拥有且控制此网域名称,认证单位必须检查注册纪录,并要该公司在此网域名称下做些更动,以证明此网站为其掌控。
申请者权限:授与认证者必须确认申请者在该公司工作,并有权限可申请认证。
此外,成立不到三年的公司,可能得提出有效银行账户证明。风险高的银行或公司也需要提出其它证明。
由于当中许多程序需要政府机关的文件证明,合股公司、无固定组织型态的公司、独资公司和个体户等其它类型的公司,目前还无法申请认证。
因此许多小型企业抱怨微软仓促行事,一些认证单位和浏览器制造商还不愿加入微软的行列。不过微软和部分认证商仍相信,这套标准将有利于网络发展,值得继续努力。
|
|
