近几日网络上风传的real networks浏览器执行代码漏洞,风起云涌,一时间,电台、电视,特别是网络到处转载,real的这个大的漏洞;问题,确实也不小。
10.20日,互联网安全公司赛门铁克近日表示,著名的RealPlayer播放软件有漏洞,可导致黑客在用户PC机上执行恶意代码.该漏洞存在于RealPlayer的浏览器帮助对象中.要利用该漏洞,黑客需引诱用户播放某恶意网页.一旦用户系统被感染,黑客可在用户计算中安装或下载任何软件.据悉,在Windows XP SP1和IE6环境下,受该漏洞影响的RealPlayer版本为10.5和11 beta.至于XP SP2和IE7是否受影响,目前仍在测试之中.此外,在Linux和Mac OS平台下是否存在该漏洞目前也不得而知.
由于,real的特殊格式,流媒体在网络上的先天优势,real播放器,几乎成了电脑上必备的播放器,当然,也是笔者的必装软件;因此,这样的软件,漏洞的产生,影响力和破坏力,无疑是巨大的;但事先要说明的是,影响力和破坏力,是要分开来讲的,这就是本文要讲的重点。
简单举几个有关real漏洞的几个例子:
2002年7月15日,Real Networks RealJukebox存在可预测文件展开漏洞
2002年11月26日,Real Player发现严重漏洞 可利用来编写蠕虫
2006年7月10日,Real Networks RealServer远程拒绝服务攻击漏洞
2007年10月20日,最新版RealPlayer有漏洞 黑客可控制系统
从这上面可以看出来,风靡网络的流行软件,一样也有数不清楚的漏洞产生,网络上的安全,时刻在影响着每一个网络人,但这些漏洞的提前公布,却是让大多数使用real的人,陷入了极大的被动当中,由于大多数网络人并不是电脑高手,更不是从事安全行业的专业人士,对于这些漏洞的产生,也是一知半解,甚至不知;但这样的漏洞的发布,却是让有心人,有机可循,利用这漏洞,谋取看不见的私利:比如,控制私人电脑,获取商业机密、情报,上传木马、流氓软件,广告软件等,这些都是强加给不知情的受害者。这,就是一个严重的不公平事实,不仅real此类软件是这个现实,包括其他各种各样的漏洞,操作系统、安全软件漏洞等,利用此类漏洞挂马等,这些事实,造成的起因,就来源于漏洞的提前公布。
在安全漏洞这个专业市场上,事实上有存在一个不成文的规矩,但有些行业,也有些半正规的规定,就是:发现漏洞应该提前告诉软件开发方,之后软件开发方给发现漏洞者可以公布漏洞的日期。而这个规定,也被大多数的黑客和安全技术爱好者所崇尚,这是个好习惯,也是互联网良性发展的一部分。但严重就严重在,一部分发现漏洞的“高手”,以最快的速度炫耀般的公布了漏洞,这就造成了,安全防护的混乱:软件厂方需要及时获得消息,需要及时修改代码,需要稳定进行新的兼容性测试,再分布更新至客户端;这中间的时间差,就为不法的漏洞利用者,造成了巨大的破坏力和获利空间。以往的冲击波、震荡波事件,熊猫烧香,av冲击波,以及现在风靡互联网的挂马事件,这数不清的被迫之后,是极少数人,张牙舞爪的狂笑。
因此,这事件,这些事件,这类事件,实在都是不该发生的新闻。英雄,不见得在闪耀的光环下才是英雄,真正的英雄,存在于真正的黑暗角落。
