2008年6月16日,安全业内某媒体曝光出UUSee软件存在高危0day漏洞,可导其用户电脑后台自动下载大量木马病毒。17日,UUsee官方做出回应,宣称是自己发现的漏洞,并已经解决漏洞危机。然而,面对uusee官方的回应声明的内容,很多专业安全人士却十分质疑。
曝光此次uusee漏洞的超级巡警软件官方表示,uusee官方针对0day漏洞回应的态度和处理方案都十分消极,主要体现在以下三个方面:
1、悠视官方本月17日发布的漏洞声明和解决方案中,针对包含漏洞的uusee2008版本没有运用紧急强制性升级,而是要求用户重新下载并安装最新版本。而在uusee软件界面和官方论坛看不到任何有关漏洞威胁的提示,绝大多数用户对漏洞毫不知情。
图1 uusee的新版软件下载中毫无漏洞相关信息
2、UUsee官方的漏洞回应中存在误导,其中UUsee安全专家强调禁用“已下载的没有微软签名的ActivX控件”,就可以保证用户安全。而事实上包含微软数字签名只能代表文件出自软件官方。换换句话说,包含有微软数字签名并不能代表软件中没有漏洞。而讽刺的是UUSee2008出现漏洞的那个dll就包含有微软的数字签名。
3、UUsee官方漏洞回应中还包括一些常识性的错误,其中运用了一个用卡巴斯基扫描自己软件的截图,以证明自己发布新版本没有漏洞。有一点安全常识的网友都了解,卡巴斯基是一款杀毒软件,不具备漏洞扫描功能,也不能下载漏洞补丁,而uusee官方在漏洞回应声明中赫然写着推荐用卡巴斯基下载补丁。
目前仍有很多下载站的提供含有漏洞的uusee2008供网友下载。同时,由于uusee没有全面发布漏洞威胁预警和更新提示,绝大多数用户认为没有理由去下载最新版本。截至10日超级巡警团队已经捕获27个利用uusee漏洞的木马。超级巡警漏洞研究人员表示,从漏洞被全面公开到厂商修复漏洞的时间段,软件使用者是最危险的。
图2 被黑客利用后成了一款“木马病毒下载器”
在当前的网络威胁中,每个漏洞威胁都不是孤立存在的,用户电脑中一个软件漏洞被黑客利用,那么整个系统防御壁垒将有可能被完全攻破。做个比方:uusee软件在网吧安装的比较普遍,那么黑客仅仅利用一台含uusee漏洞的电脑,就可以不断给机器自动下载机器狗、磁碟机等病毒和盗号木马,盗取其他网络游戏账号,甚至间接感染整个网吧,带来一系列连带威胁。目前广泛流行的Flash播放器漏洞,已经充分给互联网黑色产业链利用,目前已给网吧、网游公司、电子商务交易等许多互联网相关行业带来严重损失。可见一款流行软件的安全问题不仅仅涉及到自身利益,还关系到其他相关行业的切身利益。纵观国内如熊猫烧香、机器狗病毒集中爆发事件,都不乏同一时期某些通用软件的0day漏洞处理不够通明、果断等因素,而这一重要因素往往被公众视线所忽略。
数据安全实验室(www.sucop.com)研究显示,2008年互联网黑色产业链高速发展包含多方面因素,其中之一是黑客事件中“责任承担模糊“的问题。比如网站被挂马或软件存在漏洞被利用。表面上看这些站长或软件作者是”受害者“,而事实上一些站长以及软件作者和黑客之间存在千丝万缕的联系。由于涉及情况复杂,取证或者定位这种责任目前难于实现。单纯从“网络地下经济”技术的实现角度来看,纵容软件漏洞的软件商也“参与”到黑色产业链条当中,并且其危害更巨大。因为黑客可以利用这些通用软件的漏洞,轻松绕过已和它们建立信任关系的杀毒软件。
web2.0与p2p数据流技术让很多软件走红网络。在国外同行眼中,安全问题被视为其发展中不可忽略的先决条件。在国内,迅雷和腾讯公司的安全意识在业内比较突出,它们在面对产品的0day漏洞以及和安全厂商沟通合作上,体现出积极的态度。腾讯公司作为一家即时通信行业公司,却在每年定期举办安全峰会,邀请国内外安全厂商一同探讨最前沿的安全技术。迅雷公司则和超过5家以上安全厂商保持长期合作。笔者以为,单纯把0day漏洞看成技术缺陷是片面的,每年围绕微软的0day曝光最为普遍,但众所周知微软的程序代码中的安全构架却并不单薄。黑客对0day漏洞挖据的“深度”往往取决于软件的影响力和商业价值。一些公司把0day漏洞威胁单纯的视为负面新闻,一味的搞媒体公关危机的同时却忽略了其用户的安全性。当前网络社区”口碑营销“走红的趋势来看,注重用户的利益才是软件厂商立足于网络的的根本。