(http://www.epochtimes.com)
【大纪元3月16日讯】Linux及Unix系统数据压缩用的一项开放原始码软件的安全瑕疵,可能会感染到使用相同程序代码的微软产品。
ZDNet China 3月15日消息,在zlib(泛用型数据压缩链接库)里,可能让许多以Linux为基础的系统受到攻击。
周四,研究员报导,至少有九款微软的主要应用软件–包括Office、IE、DirectX、Messenger,及Front Page–显然整合借用一些压缩链接库里的程序代码,而且可能也会有同样的漏洞而受到攻击。
微软的代表表示,公司的安全反应小组正在研究zlib瑕疵,以及使用了压缩链接库的微软应用软件。但是,微软目前还未确定有那些应用软件使用了该链接库,以及这些软件是否有漏洞。
公司代表表示,“还不排除应用软件受感染的可能。”
在将近十年来,zlib链接库曾经是基础开放原始码软件的组件,几乎在所有Linux及Unix系统里都可找到。也就是说,这种“双重自由”的瑕疵可能让Linux及Unix有了很大的漏洞可能遭受攻击。因为采用了部分这种程序代码,微软也可能会有这种漏洞。
开放原始码压缩计划的成员Gzip,已经贴出了将近600个应用程序,都是以侦测程序认定使用到zlib程序代码的。九款微软的应用程序也名列其中,包括了Directx 8、FrontPage,下一代的绘图装置接口(Graphics Device Interface)、InstallShield、IE、Office、NetShow、Visual Studio,以及Messenger。
下一代的绘图装置接口是微软Windows XP的一部分,也就是说这个操作系统本身可能也会有危险。
这个侦测程序使用了在zlib软件中所找到的三个程序代码签名字符串–而且为了深入探究,有些还更多–借此来决定链接库中的功能是否存在特定的程序里。例如,zlib链接库创作者之一的Jean-loup Gailly,同时也是计算机影像辨识公司Vision IQ的软件架构长,他表示,微软的Direct X包含了18个可认定为出自zlib的错误讯息。
Gailly表示,微软也受到感染,但可能不见得有漏洞。他说,这要看微软怎样在zlib上写进其它软件的链接库。
IDC分析师Dan Kunsnetzky表示,使用开放原始码社群程序代码的公司,必需一直为这种安全问题检查程序代码。
他说,有些开放原始码产品经过严格的测试,因此较不会有漏洞;但有些则没有,因此可能会随后发现到包含一些让公司饮恨的瑕疵。Zlib链接库的瑕疵显示出,甚至是经过严格测试的软件,还是可能会有安全上的问题。
Zlib链接库的授权方式公布在网络上,它容许任何公司以任何方式去使用它。和GNU General Public License(通用公用许可证)不一样的是,该链接库并不要求采用的公司以释出自己的原始码做为交换。
然而,这项意外似乎证明了,尽管微软公开诋毁开放原始码,但它还是借用他人的软件在开发自己的产品。而这也不是微软第一次采用开放的原始码。
有些程序设计师已经表示,一种名为GS标示的技术,微软就把它放到自己最新的编译器里,用来避免一般的程序错误,事实上这就是借用StackGuard计划里的开放原始码。
微软借用SackGuard的功能是很有争议性的,StackGuard的作者同时也是Wirec通讯公司的服务器软件的首席研究Crispin Cowan在二月写给CNET News.com的电子邮件里如此表示,
而去年夏季所揭发出来的证据显示,Windows操作系统借用了一些网络工具以及TCP/IP stack的一部分,这是一种网络及网际网络的联机软件,来自开放原始码Unix旁支的FreeBSD。
Theo de Raadt是开放原始码Unix旁支的OpenBSD的创办然人兼项目领导,他强调没有最后的证据可以显示,“已经反复质问,但还是没有取得证据。”
微软从来就没否认说它会使用开放原始码软件,只是它禁止其程序设计师采用以GNU通用公用许可证为基础的程序代码,因为其合约要求公司公开自己的原始码。(http://www.dajiyuan.com)
相关文章
