波兰女黑客当众羞辱微软
为了摆脱安全漏洞带来的困扰,全球最大的软件生产商美国微软公司出人意料地出现在今年的黑帽安全大会上,并于8月 2 日发布了一个Vista (下一代Windows操作系统)的测试版本,邀请安全界专家为其查找漏洞。
但是,结果证明,微软是在自取其辱。
仅仅两天以后,也就是8月4日,来自波兰的女黑客乔安娜·鲁特克丝卡就当众演示了如何利用Vista漏洞攻击目标系统。
乔安娜通过演示证实,具有系统管理员权限的攻击者可以禁用系统的签名认证功能,从而允许用户系统加载未签名的设备驱动程序和软件。“如果我加入一些恶意程序的话,这个系统就……”乔安娜神秘地一笑。
微软在Windows中采用了数字签名机制,使用户可以了解哪些驱动同特定版本的Windows兼容。众所周知,由于驱动程序一般应用于操作系统底层,因此可以对系统构成致命危险。
黑客拉博客做“帮凶”
“你正在阅读的博客也是个不错的工具。”黑客鲍勃在黑帽大会上正式宣布这个最令广大互联网用户震惊的消息。通过广受欢迎的RSS或Atom等工具来阅读博客(Blog)文章的行为可能会使计算机用户受到攻击。
RSS和Atom都是一个网站用来和其他网站之间共享内容的工具,通常被用于新闻和其他按顺序排列的网站,例如博客。用户需要下载和安装一个支持RSS和Atom的聚合工具软件,然后从网站提供的聚合新闻目录列表中订阅您感兴趣的新闻栏目的内容。订阅后,用户将会及时获得所订阅新闻频道的最新内容,并在不打开网站内容页面的情况下阅读支持RSS和Atom输出的网站内容。
8月3日,鲍勃一边喝茶一边在黑帽安全大会上现场演示了这种攻击的全过程。他通过在RSS或Atom等工具传输给用户的内容中插入恶意JavaScript代码,而这些JavaScript代码常常能够在用户的PC上运行,这意味着用户的PC可能遭受攻击。
鲍勃通过多个方式实现这种攻击。他可以通过建立恶意博客,并引诱用户订阅该RSS或Atom等工具而利用这一问题兴风作浪。他也可以通过在其他人的博客的评论上添加恶意JavaScript代码来实现攻击。
(责任编辑:韩建光) | 
精彩生活 
