Google研究人員Michal Zalewski在今年的第一日(1月1日)公布一個cross_fuzz模糊測試工具。Zalewski之所以會公布該工具,是因為它可找出市面上各種瀏覽器高達上百個漏洞,由於相關漏洞資訊可能流入中國駭客手上並藉以攻擊微軟尚未補修的IE漏洞。
Zalewski開發的模糊測試(fuzzy test)工具可在微軟IE、火狐、Opera及Google與蘋果公司所使用的Webkit等主要的瀏覽器中找出上百個漏洞,而所找到的這些問題都已經回報給各個瀏覽器業者,但這其中獨剩IE未釋出相關的修補程式。
他表示,有一位Webkit開發人員使用其工具,但不小心將該測試工具外洩,遭Google搜尋引擎找到並建立索引。Zalewski發現在上個月底有來自中國的IP在搜尋IE瀏覽器核心「Mshtml.dll」的漏洞時找到他開發的工具,可能已經下載該工具與相關文件,包含至少一個漏洞的詳細情況,因此決定公布相關資訊。
微軟的安全團隊曾希望他延遲發佈該工具,但遭他拒絕。微軟認為他這樣的作法,讓使用者被攻擊的風險變大,但Zalewski認為駭客可能已經取得所有細節與工具,而微軟對他先前提供的漏洞資訊沒有提出解決的方案,Zalewski列出他與微軟間超過兩年的討論過程作為證明。
Google的工程師Tavis Ormandy也曾在微軟還未完成修補漏洞就公布資料與概念攻擊程式,但遭資安公司非議,認為他不負責任、沒給廠商足夠時間修補程式,是為虛榮讓使用者暴露在危險之中。
模糊測試原本是程式開發過程中,用來檢驗系統品質的黑箱測試方法之一。一般是在不知道原始程式碼的狀況下,在設備或系統中插入特殊軟體,該軟體以不特定的參數測試系統,以發掘系統漏洞與弱點。近幾年來,資安公司注意到駭客利用該測試手法,有系統性的自動化尋找系統或軟體的漏洞與弱點,再加以分析利用。(編譯/沈經)
熱門新聞
2025-02-05
2025-01-31
2025-01-30
2025-02-03
2025-02-03
2025-02-03