引:使用普遍的JPEG和GIF等档案格式的错误,在新工具的检视下将无所遁形。
据港台媒体报道,应用软件处理这些档案格式的漏洞逐渐成为安全研究员的焦点。其中某些错误可能引发严重的后果:只是观看网站上或电邮里的某个影像,就可能造成电脑被黑客挟持。微软公司本月稍早发布的三项"严重"安全快报中,就有两项与档案格式漏洞有关。
这类漏洞的发现近期可能会大幅增加。安全情报公司iDefense 28日在黑帽大会(Black Hat Briefing)中,正式推出一套可自动侦察档案格式弱点的工具。该公司的实验室主任Michael Sutton表示:"我的确认为这是个非常容易被利用的安全弱点领域。"iDefense本身已发现若干档案格式漏洞,Sutton说:"我们真的不太费力就发现这些弱点,但我们很努力地开发出这套工具。"
iDefense表示,这套同时适用Windows与Linux的工具,可以一位元为单位自动扭曲档案,然后在任何应用软件中打开变形的档案。若在档案开启过程中发现错误,该工具能捕获错误的资料,研究员便可调查该资料,找到弱点。
Sutton表示:"这些不是那种按一个键,弱点便自动出现的工具。它会指出某个异常,然后研究员必须自行调查。"这项工具的Windows版称为FileFuzz,Linux版则名为SpikeFile或NotSpikeFile。
虽然有可能被恶意使用,iDefense仍希望它们能被用来协助保护使用者。Sutton说:"这些东西不一定要用在邪恶的意图,它们可以用来做好事,我也希望如此。"
另一位黑帽大会的与会者认为,只有好心的安全专家会使用这套工具。Science Applications International安全工程师Joshua Feldman说:"这些工具只能发现应用软件和格式的潜在弱点,当然是属于白帽(善意黑客)的一方。"
iDefense在公司网站上开放下载这项开放原带码工具,有意者也可自行扩张并改进。
|
