微软上周称它会修复windows安全漏洞以减少新的基于网络的安全风险。但是,安全研究人员称,其它操作系统可能也有同样的安全风险。
一直在认真研究这个问题的安全研究人员之一nathan mcfeters称,他希望在本星期在圣地亚哥举行的toorcon黑客会议上介绍linux和mac os x等其它基于unix的操作系统也存在uri(统一资源识别符)协议处理程序安全漏洞的细节。
mcfeters在采访中表示,他还没有发现在基于unix的操作系统上运行非授权代码的方法。但是,他和他的同事也经发现了许多问题,值得对这个问题展开进一步的研究。
mcfeters和其他研究人员在过去的几个月里一直研究用来在网络浏览器中启动应用程序的uri协议处理技术中的问题。这些协议中最著名的一个协议也许是mailto。这个协议用来在浏览器中启动电子邮件客户端软件。
但是,任何软件开发人员都能够向操作系统注册自己的应用程序。这就导致了一些风险状况,因为从浏览器中启动应用程序有时候没有对这些应用程序的执行方法进行适当的检查。
到目前为止,黑客已经找到了一些方法通过在利用一些知名的应用软件中的uri协议的网络连接中偷偷地加入指令在用户计算机上执行未经授权的软件。微软原来称,软件开发商要保证它们的软件程序检查这种链接,防止其中包含恶意代码。但是,微软上周表示它也将在windows操作系统中增加一些检查措施。
mcfeters是ernst & young全球公司的安全研究人员。他表示,这些协议通常没有必要进行注册并且很少考虑到安全问题。即使设计不佳的uri协议注册不被用来安装非授权的软件也会给攻击者提供访问数据和应用程序的机会。
secunia aps公司首席技术官thomas kristensen也赞成uri协议处理程序问题可能会影响到linux和mac os x操作系统的观点。他说,其它平台也存在同样的问题是绝对有可能的。