IT厂商联手应对对DNS重大漏洞

　　6个月前，IOActive公司的安全研究人员Dan Kaminsky在发现了域名系统(DNS)协议中的一个基本安全漏洞，但他没有把这一可让互联网遭受致命攻击的漏洞卖给黑客，而是立即联系CERT(计算机应急处理协调中心)，通过CERT联合微软、Sun和思科等行业巨头制定一个解决方案。7月8日，经过半年来的秘密研制，上述主要软件和硬件厂商发布了软件“补丁”以修复这个漏洞。

　　CERT组织的Art Manion表示，美国政府几个部门在这一事件中和CERT进行了密切和合作，比如告知各大ISP这一漏洞的存在。 Kaminsky说，以前还从来没有这种规模的修复安全漏洞的事情。

　　据悉，这个安全漏洞可能导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗人们泄漏自己的账户号码、口令和其它信息。黑客还能够利用这个安全漏洞把用户引导到他要用户访问的网页,无论用户在网络浏览器上输入什么地址。

　　鉴于这一漏洞主要会对企业用户和ISP产生影响，Kaminsky建议ISP和企业网管使用新发布的补丁。但他说，新老版本的DNS都可能存在漏洞，不过补丁可能只适用与新版本。

　　Kaminsky还建立了一个网页,人们可以在那里查看自己的计算机是否存DNS安全漏洞，以及他们的企业或为之服务的ISP的服务器是否已打了补丁。 他还表示，将给予网管们一个月的时间来打补丁，然后才将在即将召开的黑帽大会上披露漏洞的技术细节。

　　黑帽大会的创建者Jeff Moss 赞扬了Kaminsky的举动，认为这是一种负责任的行为。因为，越来越惯常的做法是将发现的漏洞卖给黑客赢利。“出卖这一信息可能获得成千上万美元。”他说。