精華區beta NTUCGS 關於我們 聯絡資訊
發信人YisY.bbs@sob.m7.ntu.edu.tw (管柱透析乾燥電泳),
看板NTUCGS
標 題something about IE
發信站陽光沙灘 (Tue Oct 19 20:47:24 1999)
轉信站Ptt!warp!sob
微軟IE瀏覽器潛伏Java安全問題 CNET新聞專區:Stephen Shankland特約報導 10/15/99 3:24:36 PM 微軟版的Java程式語言技術被發現有新的弱點,可能讓包藏禍 心的Java程式透過網際網路啟動,刪除電腦檔案或執行一些同 樣危險的動作。 德國馬伯格大學研究生Karsten Sohr發現這個安全漏洞,利用 可讓不被信任的Java程式佯裝成被信任程式的軟體瑕疵作怪。 普林斯敦大學安全網際網路程式設計小組的研究員已製作一展 示用的「攻擊小程式」(attack applet),可利用此安全漏洞 ,迴避微軟網際網路探險家(Internet Explorer)瀏覽軟體 的檢查,進而刪除使用者電腦中的檔案。 Java是昇陽電腦公司(Sun Microsystems)所創的程式語言, 讓程式能橫跨網路、在任何一部具Java功能的電腦執行。微軟 於1995年向昇陽取得Java技術授權,後來在微軟瀏覽器及其他 軟體中所含的Java程式中,添加只適用於微軟視窗系統的附加 程式碼。昇陽旋即於1997年10月控告微軟違反授權協議,對 Java造成「破壞」。這場官司仍在進行中。 小程式是用軟體(例如Java所啟動的網頁瀏覽軟體)自網際 網路下載的程式。將這種小程式的運作局限於所謂「沙盒」 (sandbox)的電腦安全區內,Java通常能防止小程式執行 未經許可的動作。 微軟發言人承認,新發現的安全漏洞確有其事,但那需要 相當高桿的程式設計師,才能利用這種安全瑕疵,使用一般 軟體開發工具製作Java程式者,倒無技可施。發言人表示 ,微軟會儘速公布補救程式。 -- /\/\ Origin: // (sob.m7.ntu.edu.tw) > -------------------------------------------------------------------------- < 發信人: YisY.bbs@sob.m7.ntu.edu.tw (管柱透析乾燥電泳), 看板: NTUCGS 標 題: something about IE(2) 發信站: 陽光沙灘 (Thu Oct 21 23:17:05 1999) 轉信站: Ptt!warp!sob 微軟忙於應付層出不窮的IE安全漏洞 微軟公司18日採取行動,設法修補微軟網頁瀏覽器的一個安全 漏洞,但另一種瑕疵卻又隨即冒了出來。 兩種問題都因該瀏覽軟體執行JavaScript而起。JavaScript是 一種文本描述(scripting)語言,由網景通訊公司 (Netscape Communications)所創。全球資訊網網站利用 這種技術指示造訪者的電腦作某些動作,不須經過造訪者的 輸入。文本描述語言的典型作用包括開啟彈跳式視窗,或是 捲動螢幕畫面。 文本描述語言的發明,對網頁設計師是一大福音,卻也讓偵蟲 專家忙得不亦樂乎。他們已發現許多方法迴避安全檢查措施, 展示惡意的網站管理者如何利用此技術,耍弄網站造訪者的 電腦。 其中一位偵蟲專家,保加利亞籍的Georgi Guninski,一年多 年就開始定期報告JavaScript的安全問題。雖然網景(如今 成為美國線上公司旗下的一個部門)的瀏覽軟體曾受Guninski 的檢視,但這幾個月來,微軟已變成Guninski主要的目標。 上週,微軟承認,網際網路探險家5.0版 (Internet Explorer 5.0)可能受Guninski所發現安全漏洞 的影響,以至於讓不懷好意的網站管理者偷窺網站造訪者的 電腦檔案。網站管理者可利用此瑕疵,迴避微軟的安檢措施 ,方法是在「框格」(frame)--網站中的小型視窗-- 裡執行文本描述程式,藉此逃避安全檢查。 微軟說,這種情況只能讓攻擊者偷看檔案,並更能加以篡改 或刪除。 微軟建議,IE4.01版的使用者使用IE4.01版的 service pack 2,IE5.0版使用者則可下載不同的修補程式, 視他們系統使用的是英特爾(Intel)平台,或是Alpha平台。 微軟一修補Guninski偵得的安全漏洞,這位臭蟲獵人又發現 新的瑕疵。第二種安全漏洞也能迴避瀏覽軟體的安全檢查, 這一回是藉著把使用者電腦內的檔案導向一個以 「javascript:」開頭的網址。在這種情況下,JavaScript 程式碼利用電腦檔案有限的安全性得以執行,允許檔案 傳輸到另一部電腦,讓網站管理人盜取檔案。 網站管理人也可利用這種瑕疵,啟動假冒的視窗。 微軟公司證實Guninski的發現屬實,並表示正研究修補程式。 在此之前,微軟建議使用者關掉IE內網際網路安全區的文本 描述功能。那將使那種腳本程式無法在所有的網站上執行, 除非使用者特別指定為可信任的網站,也就是使用者置於 「可信任」區的網站。 面臨一個接一個的瀏覽器安全漏洞,微軟挺身為其安全防衛 措施辯護。發言人聲稱,微軟對安全瑕疵非常重視,而且已 設有安全滲透測試小組,任務即是設法突破IE的安全防備, 以找出安全檢查的弱點。 微軟安全產品經理Scott Culp說:「安全總是一場旅程,而 不是一個終點站。我們始終在問題發生時致力矯正問題, 並且採取主動調查行動。我們會不斷研究因應對策,以提升 產品的安全性。」 -- /\/\ Origin: // (sob.m7.ntu.edu.tw)