根据Microsoft(微软)公司的安全小组的报告,安全公司Neurocom在通知Microsoft公司的安全小组之前,将所谓的弱点公之于众已经违反了标准的病毒检测协议。微软表示安全公司宣布的问题在几周前已得到解决。
Neurocom公司的一个高级官员Cyril Simonnet表示:“我们的目的根本不是希望惩罚Microsoft公司。我们的目的只是希望找到安全的漏洞。”
Neurocom公司曾经开发出包括一个恶意的称为特洛伊木马的病毒程序,它可以通过另一个请求而自我发送。利用这个病毒,潜在的黑客可能会使用这个特洛伊木马病毒,通过编写HTML程序而制造一个Hotmai的再次登录页面的“绝妙的复制品”。该公司还表示,其他的提供基于网络的电子邮件服务的网站也将成为类似攻击的对象。
Neurocom表示,病毒过滤器已经联合起来,限制HTML或JavaScript编码的使用,因为这些编码回对网络带来潜在的威胁。例如,在1998年,Microsoft曾经对一个JavaScript的安全漏洞进行修补。
使用JavaScript在HTML信息中传送的特洛伊木马可欺骗电子邮件用户,并要求他们提供用户名和密码。SecurityFocus的Levy表示:黑客可能利用特洛伊木马来建立一个象注册页面的视窗,欺骗电子邮件用户输入用户名和密码。
微软和其他使用Web电邮系统的公司一般是过滤已知的植入恶意JavaScript码令,Levy认为最好的办法是仅允许无威胁内容。这样的话即便有加密JavaScript的新方法被使用,仍可得到有效保护。(新意)
|