Windows新的URI漏洞再現(xiàn)比前更危險(xiǎn)

Mozilla的漏洞剛剛結(jié)束，微軟的又來(lái)了，而且更加危險(xiǎn)。Windows操作系統(tǒng)中的一個(gè)并不常用的功能可以導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)威脅。
    安全研究者Billy Rios和Nathan McFeters說(shuō)他們已經(jīng)發(fā)現(xiàn)一個(gè)新的方法可以從受害者的計(jì)算機(jī)中竊取數(shù)據(jù)，方法就是利用Windows的瀏覽器通過(guò)URI（Uniform Resource IdentifIEr，統(tǒng)一資源標(biāo)識(shí)符）引導(dǎo)應(yīng)用程序這個(gè)過(guò)程中的漏洞。
    在過(guò)去幾個(gè)月里，自從Thor Larholm展示了如何使用URI技術(shù)欺騙IE瀏覽器發(fā)送惡意數(shù)據(jù)給Firefox以來(lái)，URI bug就已經(jīng)成了熱門(mén)話題，該漏洞允許攻擊者在用戶(hù)的PC上運(yùn)行任意軟件程序。還沒(méi)過(guò)去多久，現(xiàn)在Rios和McFetters就展示了如何欺騙其他的瀏覽器和應(yīng)用程序以達(dá)到類(lèi)似的目標(biāo)，目前的結(jié)果已經(jīng)顯示有很多種途徑可以達(dá)攻擊目的。
    （利用此漏洞）可以通過(guò)URI來(lái)竊取用戶(hù)計(jì)算機(jī)中的數(shù)據(jù)并遠(yuǎn)程上傳內(nèi)容給受害者。身為高級(jí)安全顧問(wèn)的MvFetters說(shuō)，這完全是通過(guò)應(yīng)用程序提供的功能。
    Shavlik的首席安全師Eric Schultze說(shuō)：這是黑客的美夢(mèng)成真，而程序員則噩夢(mèng)到來(lái)，在隨后幾個(gè)月里攻擊者們會(huì)找到多種多樣的方法使正常的程序做出不正常的事情來(lái)。
    通過(guò)使用自定義的URI協(xié)議名稱(chēng)，軟件開(kāi)發(fā)者們可以使用戶(hù)更加方便地使用軟件。Windows注冊(cè)表會(huì)跟蹤這些名稱(chēng)并將其分配給相關(guān)程序，這樣任何時(shí)刻用戶(hù)都可以通過(guò)瀏覽器調(diào)用相關(guān)程序。
    例如AOL的即時(shí)信息客戶(hù)端使用了aim的名稱(chēng)，因此點(diǎn)擊那些以aim:goim開(kāi)頭的鏈接，或者在瀏覽器地址欄中輸入aim:goim，都會(huì)啟動(dòng)AIM即時(shí)消息窗口。
    問(wèn)題在于軟件開(kāi)發(fā)者們忙著啟動(dòng)程序，卻并未考慮到收到的數(shù)據(jù)可能來(lái)自攻擊者。
    URI的處理問(wèn)題相當(dāng)復(fù)雜，甚至對(duì)與軟件開(kāi)發(fā)者來(lái)說(shuō)也是如此。Mozilla最初以為L(zhǎng)arholm的漏洞需要IE瀏覽器才能觸發(fā)，但后來(lái)發(fā)現(xiàn)并非如此，隨后的兩周Firefox團(tuán)隊(duì)才補(bǔ)上這個(gè)漏洞。如果像Mozilla這樣的組織在理解URI的處理過(guò)程中都會(huì)遇到問(wèn)題的話，更不用說(shuō)那些小規(guī)模的開(kāi)發(fā)團(tuán)隊(duì)了。