微软:ActiveX漏洞威胁Vista安全

日期: 2008-11-04 作者:范臻 来源:TechTarget中国 英文

  虽然Vista相比XP更不容易受到恶意代码的攻击,但是Vista仍然一直受到自身ActiveX浏览器插件技术的潜在威胁。本周一,微软发布了这方面的相关报道

  微软每年都会透过Security Intelligence Report (SIR)分享两次其研究报告,在这份报告中,微软表示安装有XP Service Pack2(SP2)的电脑相比Vista SP1而言,被恶意软件感染的几率超过3倍。而最新的XP,也就是SP3,被感染的可能性则为SP1的两倍。

  “我们为安全所做的工作正获到回报,”微软产品安全和安全工程集团总经理George Stathakopoulos表示,该安全工程集团一直致力于为新产品编写更安全的代码,包括Vista。“我们很高兴为我们所取得的成就,但是从整个系统范围来说,我们还面临着问题”。

  在过去6个月时间内,基于浏览器攻击Windows XP的前十位排名中,有一半以上是由于微软自身的软件存在漏洞,而在这前十位排名中,没有针对Vista系统的攻击。相反,绝大多数通过浏览器攻击Vista的都是通过第三方ActiveX控制实现。

  ActiveX中是微软用来为IE创建插件的技术,在今年上半年基于浏览器攻击Vista的前十位排名中,有八个是由该漏洞引起。而第九个攻击则可以通过ActiveX其他漏洞手段获得实现。

  ActiveX影响到的八个漏洞中有两个漏洞涉及到RealPlayer媒体播放器插件,另外一个则涉及到苹果的QuickTime 播放器。这两家公司在今年都已经发布了安全补丁。苹果还在2008的五次更新中,发布了近30个QuickTime漏洞补丁。

  在2007年下半年,ActiveX漏洞在所发现的浏览器插件漏洞中,曾占据了79%的份额。

  特别是在中国,在今年上半年基于浏览器攻击中,国内用户占据整个受害者的47%,微软表示。Stathakopoulos还指责中国开发者在ActiveX问题上过于草率,“我认为这些开发者缺少良好的安全意识,尤其是相对于中国这么大的市场来说。”。这也就是为什么中国受到浏览器攻击特别严重的原因,他解释道。

  而美国用户在基于浏览器漏洞攻击的受害者中,只占据了23%。

  Stathakopoulos说,微软正在为帮助开发者编写更安全的代码而付出更多努力。在9月,微软组建了由九家安全咨询公司组成的一个付费计划“SDL Pro Network”。另外,微软也将于本月份允许用户免费下载其SDL优化模式和SDL威胁模式工具3.0,以帮助开发人员完成SDL。

  他还强调,微软对IE中的ActiveX进行锁定的努力获得预期效果。比如,IE7中很多ActiveX默认都是被禁止的,如果要开启的话,需要征求用户明确的意见。同时,还处在测试中版中的IE8,也引入了更多的安全特性,包括限制特殊域的访问——比如企业内部网。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

范臻
范臻

相关推荐