(http://www.epochtimes.com)
【大纪元9月10日讯】微软上周表示,Windows操作系统中有一漏洞可让黑客窃取计算机使用者的信用卡信息或密码。
ZDNet China9月9日消息,微软立即发出安全警告,将此一漏洞订为“危险”层级,影响层面涵盖许多处理数字认证的微软产品,包括Windows与麦金塔的应用程序。
此一漏洞可让经过合法认证的网站发出第二个假认证,使得有心人士可堂而皇之进入他人计算机,窃取使用者密码或信用卡数据等。
“比如说,网友来到我的网站,我可设置一个连结说‘点选这里可连至Amazon.com’,但其实这连结不会前往真正的Amazon.com,之后我便可趁机要求网友输入信用卡号等数据。”Gatrner分析师John Pescatore表示。
专家表示截至目前为止尚未发现有人因此受害,但此一漏洞影响层面深远,因为它影响了Windows的主要安全认证机制之一的CryptoAPI,许多非微软程序也会使用此机制。分析师警告若漏洞遭黑客利用,消费者对于在线交易的信心会再度受挫。
微软在安全告示板中警告,此一漏洞会使得CryptoAPI无法正确验证部分的数字签证;微软也表示,麦金塔产品受影响的部分与CryptoAPI无关。Windows会使用加密机制来确认网站或软件组件(如驱动程序等)的合法性,并避免入侵者控制主要的子系统。
微软强烈建议企业与消费者应立即安装软件修补程序(公布于公司网站上),不过企业间最常使用的Window 2000操作系统目前仍无解。
除了操作系统外,另有六个微软麦金塔程序也受影响,包括:Office v. X、Office 2001、Office 98、Mac OS 8/9版的IE浏览器以及Outlook Express 5.05。这些修补程序目前也还没推出。微软并没透露其它修补程序何时会推出,仅表示目前已经全力赶工,一旦完成就会立即公布。
微软表示,执行Windows操作系统的计算机若尚未安装修补程序,有可能遭到数种不同攻击。由于CryptoAPI无法辨识第二个数字认证是假的,因此将不会警告PC使用者。而核发认证者便可使用假认证将用户导引至别的网站进行SSL在线交易。分析师表示,此一漏洞的危险性就在于网友一开始可能的确在某一网站上进行合法交易,但后来却会被暗中导到另一个假网站。
Gartner的Pescatore强调虽然目前尚未发现有黑客刻意利用此一漏洞进行诈骗,但还是不可小觑其影响层面,因为许多消费者已经相当习惯浏览器上代表可安心进行交易的安全标志。“网友会相信SSL加密机制已经开始执行,可安心输入信用卡信息或密码等。
微软也承认这对在线交易的安全性可能产生信心危机。这也是为何我们会立即将此漏洞公布,采取紧急补救措施的原因。微软安全响应中心经理Lynn Terwoerds表示。
微软最近可说屋漏偏逢连夜雨,三番两次出现各种大小不等的安全漏洞。例如上周Windows 2000 Server不断遭外力攻击就让微软伤透脑筋,而光再八月份微软就发出8次安全警告,九月份截至目前也以发出两次。(http://www.dajiyuan.com)
