新闻 | 天津 | 民生 | 广电 | 津抖云 | 微视 | 读图 | 文娱 | 体育 | 图事 | 理论 | 志愿 | 专题 | 工作室 | 不良信息举报
教育 | 健康 | 财经 | 地产 | 天津通 | 旅游 | 时尚 | 购物 | 汽车 | IT | 亲子 | 会计 | 访谈 | 场景秀 | 发布系统

"津云"客户端
  您当前的位置 :北方网 > IT浪潮 > 滚动新闻 正文
关键词:

比先前更危险:新的URI漏洞出现


http://www.enorth.com.cn  2007-08-29 20:38

  作者:A.M.I.O

  Mozilla的漏洞刚刚结束,微软的又来了,而且更加危险。Windows操作系统中的一个并不常用的功能可以导致严重的网络威胁。

  安全研究者Billy Rios和Nathan McFeters说他们已经发现一个新的方法可以从受害者的计算机中窃取数据,方法就是利用Windows的浏览器通过URI(Uniform Resource Identifier,统一资源标识符)引导应用程序这个过程中的漏洞。

  在过去几个月里,自从Thor Larholm展示了如何使用URI技术欺骗IE浏览器发送恶意数据给Firefox以来,URI bug就已经成了热门话题,该漏洞允许攻击者在用户的PC上运行任意软件程序。还没过去多久,现在Rios和McFetters就展示了如何欺骗其他的浏览器和应用程序以达到类似的目标,目前的结果已经显示有很多种途径可以达攻击目的。

  “(利用此漏洞)可以通过URI来窃取用户计算机中的数据并远程上传内容给受害者。”身为高级安全顾问的MvFetters说,“这完全是通过应用程序提供的功能。”

  Shavlik的首席安全师Eric Schultze说:“这是黑客的美梦成真,而程序员则噩梦到来,在随后几个月里攻击者们会找到多种多样的方法使正常的程序做出不正常的事情来。”

  通过使用自定义的URI协议名称,软件开发者们可以使用户更加方便地使用软件。Windows注册表会跟踪这些名称并将其分配给相关程序,这样任何时刻用户都可以通过浏览器调用相关程序。

  例如AOL的即时信息客户端使用了“aim”的名称,因此点击那些以“aim:goim”开头的链接,或者在浏览器地址栏中输入“aim:goim”,都会启动AIM即时消息窗口。

  问题在于软件开发者们忙着启动程序,却并未考虑到收到的数据可能来自攻击者。

  URI的处理问题相当复杂,甚至对与软件开发者来说也是如此。Mozilla最初以为Larholm的漏洞需要IE浏览器才能触发,但后来发现并非如此,随后的两周Firefox团队才补上这个漏洞。“如果像Mozilla这样的组织在理解URI的处理过程中都会遇到问题的话,更不用说那些小规模的开发团队了。”

编辑 赵海涛 驱动之家
[进入IT论坛]
请您文明上网、理性发言并遵守相关规定,在注册后发表评论。
 北方网精彩内容推荐
无标题文档
天津民生资讯
天气交通 天津福彩 每月影讯 二手市场
空气质量 天津股票 广播节目 二手房源
失物招领 股市大擂台 天视节目 每日房价
热点专题
北京奥运圣火传递和谐之旅 迎奥运 讲文明 树新风
解放思想 干事创业 科学发展 同在一方热土 共建美好家园
2008天津夏季达沃斯论坛 《今日股市观察》视频
北方网网络相声频道在线收听 2008高考招生简章 复习冲刺
天津自然博物馆馆藏精品展示 2008年天津中考问题解答
带你了解08春夏服饰流行趋势 完美塑身 舞动肚皮舞(视频)
C-NCAP碰撞试验—雪佛兰景程 特殊时期善待自己 孕期检查
热点新闻排行 财经 体育 娱乐 汽车 IT 时尚 健康 教育

Copyright (C) 2000-2021 Enorth.com.cn, Tianjin ENORTH NETNEWS Co.,LTD.All rights reserved
本网站由天津北方网版权所有