微軟：ActiveX漏洞威脅Vista安全 -電腦資料

    雖然Vista相比XP更不容易受到惡意代碼的攻擊，但是Vista仍然一直受到自身ActiveX瀏覽器插件技術(shù)的潛在威脅，

微軟：ActiveX漏洞威脅Vista安全

    微軟每年都會(huì)透過(guò)Security Intelligence Report (SIR)分享兩次其研究報(bào)告，在這份報(bào)告中，微軟表示安裝有XP Service Pack2(SP2)的電腦相比Vista SP1而言，被惡意軟件感染的幾率超過(guò)3倍。而最新的XP，也就是SP3，被感染的可能性則為SP1的兩倍。

    “我們?yōu)榘踩�所做的工作正獲到回報(bào)，”微軟產(chǎn)品安全和安全工程集團(tuán)總經(jīng)理George Stathakopoulos表示，該安全工程集團(tuán)一直致力于為新產(chǎn)品編寫(xiě)更安全的代碼，包括Vista�！拔覀兒芨吲d為我們所取得的成就，但是從整個(gè)系統(tǒng)范圍來(lái)說(shuō)，我們還面臨著問(wèn)題”。

    在過(guò)去6個(gè)月時(shí)間內(nèi)，基于瀏覽器攻擊Windows XP的前十位排名中，有一半以上是由于微軟自身的軟件存在漏洞，而在這前十位排名中，沒(méi)有針對(duì)Vista系統(tǒng)的攻擊。相反，絕大多數(shù)通過(guò)瀏覽器攻擊Vista的都是通過(guò)第三方ActiveX控制實(shí)現(xiàn)。

    ActiveX中是微軟用來(lái)為IE創(chuàng)建插件的技術(shù)，在今年上半年基于瀏覽器攻擊Vista的前十位排名中，有八個(gè)是由該漏洞引起。而第九個(gè)攻擊則可以通過(guò)ActiveX其他漏洞手段獲得實(shí)現(xiàn)，

電腦資料

    ActiveX影響到的八個(gè)漏洞中有兩個(gè)漏洞涉及到RealPlayer媒體播放器插件，另外一個(gè)則涉及到蘋(píng)果的QuickTime 播放器。這兩家公司在今年都已經(jīng)發(fā)布了安全補(bǔ)丁。蘋(píng)果還在2008的五次更新中，發(fā)布了近30個(gè)QuickTime漏洞補(bǔ)丁。

    在2007年下半年，ActiveX漏洞在所發(fā)現(xiàn)的瀏覽器插件漏洞中，曾占據(jù)了79%的份額。

    特別是在中國(guó)，在今年上半年基于瀏覽器攻擊中，國(guó)內(nèi)用戶占據(jù)整個(gè)受害者的47%，微軟表示。Stathakopoulos還指責(zé)中國(guó)開(kāi)發(fā)者在ActiveX問(wèn)題上過(guò)于草率，“我認(rèn)為這些開(kāi)發(fā)者缺少良好的安全意識(shí)，尤其是相對(duì)于中國(guó)這么大的市場(chǎng)來(lái)說(shuō)�！薄＿@也就是為什么中國(guó)受到瀏覽器攻擊特別嚴(yán)重的原因，他解釋道。

    而美國(guó)用戶在基于瀏覽器漏洞攻擊的受害者中，只占據(jù)了23%。

    Stathakopoulos說(shuō)，微軟正在為幫助開(kāi)發(fā)者編寫(xiě)更安全的代碼而付出更多努力。在9月，微軟組建了由九家安全咨詢公司組成的一個(gè)付費(fèi)計(jì)劃“SDL Pro Network”。另外，微軟也將于本月份允許用戶免費(fèi)下載其SDL優(yōu)化模式和SDL威脅模式工具3.0，以幫助開(kāi)發(fā)人員完成SDL。

    他還強(qiáng)調(diào)，微軟對(duì)IE中的ActiveX進(jìn)行鎖定的努力獲得預(yù)期效果。比如，IE7中很多ActiveX默認(rèn)都是被禁止的，如果要開(kāi)啟的話，需要征求用戶明確的意見(jiàn)。同時(shí)，還處在測(cè)試中版中的IE8，也引入了更多的安全特性，包括限制特殊域的訪問(wèn)——比如企業(yè)內(nèi)部網(wǎng)。