本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。 透過購買訂閱,您正在幫助確保未來能夠持續釋出關於塑造我們當今世界的發現和思想的具有影響力的故事。
在發現蘋果在某些版本的 Mac OS X 作業系統中實施的 Java 軟體存在安全漏洞六個月後,該公司正在釋出修復程式。
該軟體漏洞可能允許駭客在執行 Leopard 和某些 Tiger 作業系統的 Mac 上安裝和執行惡意軟體(惡意程式)。 一旦進入 Mac,惡意軟體可能被用來竊取計算機中的資訊。
安全研究人員聲稱,蘋果幾個月來一直無視他們關於這個問題的警告。 據軟體製造商 Plausible Labs Cooperative, Inc. 創始人兼 前蘋果程式設計師 Landon Fuller 在 5 月份的博文中稱,五個月前,Java 漏洞被公開披露,並由 Sun Microsystems(開發和維護 Java 的公司)修復。 Fuller 還在他的網站上釋出了一個概念驗證駭客程式,演示了某人如何利用該漏洞攻擊甚至控制他人的 Mac,計算機經銷商新聞(CRN) 報道。
總部位於德克薩斯州奧斯汀的 Mac 安全軟體製造商 Intego 上個月也釋出警告,建議 Mac 使用者在其 Web 瀏覽器中停用 Java,直到蘋果公司著手修復 Java 漏洞,資訊週刊 報道。 Java 是一種程式語言,Sun 公司於 1995 年推出,旨在使同一軟體能夠在許多不同的計算機平臺上執行。Java 中的漏洞可能導致 Mac 使用者僅僅透過訪問包含旨在利用該漏洞的惡意軟體的網站(也稱為“路過式”攻擊)而遭到攻擊。 據 Intego 稱,編寫此類惡意軟體的駭客隨後可以訪問或刪除易受攻擊的 Mac 上的檔案。
雖然華盛頓郵報計算機安全記者 Brian Krebs 寫道,蘋果公司在修復 Java 漏洞方面平均比 Sun 公司修復後晚大約六個月,但蘋果遠非唯一一家在修復其產品問題時拖延時間的大型軟體公司。 眾所周知,微軟、甲骨文、思科和其他公司在披露和修復其軟體中的安全漏洞時採取被動(而非主動)方法,有時會促使安全專家(如 Fuller 所做的那樣)編寫和釋出利用這些漏洞的藍圖。
其中一個最臭名昭著的例子發生在 2005 年 7 月的黑帽安全會議上,當時年僅 24 歲的安全專家 邁克爾·林恩 做了一個演示,展示瞭如何利用思科軟體中的安全漏洞來控制思科網路路由器。 當思科得知林恩在會議上所做的事情時,該公司要求黑帽會議從會議講義中刪除林恩的簡報,並獲得法院命令,阻止林恩再次進行演示。 思科聲稱,它已於 2005 年 4 月釋出了該問題的補丁,但 林恩反駁說,思科向客戶淡化了安全問題的嚴重性,因此許多人沒有費心安裝它。
圖片 ©iStockphoto.com/ 羅伯特·庫普曼斯