Windows安全机制爆漏洞 微軟發出警告

(http://www.epochtimes.com)

【大紀元9月10日訊】微軟上周表示，Windows操作系統中有一漏洞可讓黑客竊取計算机使用者的信用卡信息或密碼。

ZDNet China9月9日消息，微軟立即發出安全警告，將此一漏洞訂為“危險”層級，影響層面涵蓋許多處理數字認證的微軟產品，包括Windows与麥金塔的應用程序。

此一漏洞可讓經過合法認證的网站發出第二個假認證，使得有心人士可堂而皇之進入他人計算机，竊取使用者密碼或信用卡數据等。

“比如說，网友來到我的网站，我可設置一個連結說『點選這里可連至Amazon.com』，但其實這連結不會前往真正的Amazon.com，之后我便可趁机要求网友輸入信用卡號等數据。”Gatrner分析師John Pescatore表示。

專家表示截至目前為止尚未發現有人因此受害，但此一漏洞影響層面深遠，因為它影響了Windows的主要安全認證机制之一的CryptoAPI，許多非微軟程序也會使用此机制。分析師警告若漏洞遭黑客利用，消費者對于在線交易的信心會再度受挫。

微軟在安全告示板中警告，此一漏洞會使得CryptoAPI無法正确驗證部分的數字簽證；微軟也表示，麥金塔產品受影響的部分与CryptoAPI無關。Windows會使用加密机制來确認网站或軟件組件(如驅動程序等)的合法性，并避免入侵者控制主要的子系統。

微軟強烈建議企業与消費者應立即安裝軟件修補程序(公布于公司网站上)，不過企業間最常使用的Window 2000操作系統目前仍無解。

除了操作系統外，另有六個微軟麥金塔程序也受影響，包括：Office v. X、Office 2001、Office 98、Mac OS 8/9版的IE瀏覽器以及Outlook Express 5.05。這些修補程序目前也還沒推出。微軟并沒透露其它修補程序何時會推出，僅表示目前已經全力赶工，一旦完成就會立即公布。

微軟表示，執行Windows操作系統的計算机若尚未安裝修補程序，有可能遭到數种不同攻擊。由于CryptoAPI無法辨識第二個數字認證是假的，因此將不會警告PC使用者。而核發認證者便可使用假認證將用戶導引至別的网站進行SSL在線交易。分析師表示，此一漏洞的危險性就在于网友一開始可能的确在某一网站上進行合法交易，但后來卻會被暗中導到另一個假网站。

Gartner的Pescatore強調雖然目前尚未發現有黑客刻意利用此一漏洞進行詐騙，但還是不可小覷其影響層面，因為許多消費者已經相當習慣瀏覽器上代表可安心進行交易的安全標志。“网友會相信SSL加密机制已經開始執行，可安心輸入信用卡信息或密碼等。

微軟也承認這對在線交易的安全性可能產生信心危机。這也是為何我們會立即將此漏洞公布，采取緊急補救措施的原因。微軟安全響應中心經理Lynn Terwoerds表示。

微軟最近可說屋漏偏逢連夜雨，三番兩次出現各种大小不等的安全漏洞。例如上周Windows 2000 Server不斷遭外力攻擊就讓微軟傷透腦筋，而光再八月份微軟就發出8次安全警告，九月份截至目前也以發出兩次。(http://www.dajiyuan.com)