URI 瀏覽器缺陷比原先設想的更嚴重

【大紀元8月24日訊】URI 瀏覽器缺陷比原先設想的更嚴重

（大紀元記者高以用編譯報導）視窗作業系統通過URI （Uniform Resource Identifier，統一資源標識符）協議處理技術讓過瀏覽器來執行程式。URI技術鮮為人知，但網絡安全研究人員發現它會給網路衝浪者帶來很大的安全問題。

Thor Larholm最早發現URI技術會被人利用發送不良信息給火狐（Firefox）瀏覽器，允許攻擊者在受害者的個人電腦上執行未經允許的軟體。過去數月以來，URI 臭蟲已成為了熱門話題。隨後，其他研究人員也發現了其它瀏覽器和應用程式也能被濫用而達到類似的目的。

根據Infoworld的消息，研究人員Billy Rios 和Nathan McFeters 現在發現有很多種方式可以利用URI技術來竊取受害者電腦上的資料。

雖然他們不會說出該對軟體負責任的公司名字，但研究員說他們在一個廣泛被應用的程式中發現了一個主要缺陷，那個程式可能被濫用來從受害者的電腦竊取資料。

Ernst &Young全球有限公司資深安全顧問McFetters說，「透過URI從用戶的機器竊取到內容，然後將內容上傳到一臺攻擊者所選擇的遠端伺服器是可能做得到的。」 「這是透過應用程式提供的功能可以做到的事。」

Rios 和McFetters 計劃在販賣者有機會解決問題之後發佈他們的研究結果。

「這是駭客的夢想，但卻是程式員的惡夢。」Shavlik科技的首席安全設計者Eric Schultze如此表示，他認為6到9個月後，駭客就會找到利用這些漏洞的方法。

藉著URI 協議技術，軟體開發商設法讓他們的顧客生活更簡單些。視窗註冊表會記住這些協議的名字，把它們和相應的應用程式聯繫起來。因此，以後但這些URI名字在瀏覽器中被叫到時，相應的應用程式就開始執行。

問題是，軟體開發商急於使他們能應用，而沒有適當地考慮到他們可能被攻擊者濫用。McFetters認為這些URI 問題很複雜。

微軟正在教育用戶和開發商關注這些安全問題，但它所能做的也只有那樣了。微軟程式安全經理Mark Griesi這樣說。

Griesi認為沒有必要因為URI 問題而修改視窗系統或者IE瀏覽器，因為那是獨立軟體開發商的程式被濫用了。
(http://www.dajiyuan.com)