上两周席卷全球网络的SQL Slammer蠕虫病毒中的核心代码,被证实出自英国安全专家,NGS软件公司创始人之一David Litchfield之手。他于去年8月份写出这段程序以演示SQL中的缓冲区溢出漏洞,并且于去年8月份在Black Hat Briefings上发表。
要激发SQL的缓冲器溢出需要对处理器指令流进行控制。如果做到这一点,那么居心叵测的程序员就可以在其中随心所欲的植入任何代码。“Slammer的代码根本就是抄袭之作”,Litchfield忿忿不平的说,“我的演说是刻意在微软释放了对应补丁之后进行的,与此同时我还和微软沟通过以保证该补丁已经流通过一段时间。”
据悉,微软于演说发表之前的七月份就发布了相应的补丁,并首先递交给一部分专家进行审核,然后再在网上进行传播。类似的案例曾于去年发生过,当时一家以色列公司曾因其在对应的补丁发布之前公布了一个系统漏洞的详细资料而成为舆论的焦点。不过值得庆幸的事在于这个漏洞并没有被黑客利用,并且微软也很快的发布了对应的补丁。
Symantec公司的Richard Archdeacon说:“在制造商没来得及发布解决措施之前公开漏洞的存在及特征是很致命的。自己公开漏洞就是一种不负责任的行为。”
|