注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

孙永杰的博客

 
 
 

日志

 
 

中国安全软件:口水战可以休矣?  

2010-02-03 08:15:52|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

安全行业口水战很多,但是,谁是破坏中国安全领域市场秩序的罪魁祸首呢?还是从一件事情说起。

 

在日前的“奇虎揭秘瑞星漏洞门”的事件中。这件事情的本质就是,奇虎将业界普遍存在的一个“本地提权”的漏洞给无限制放大了。关于“本地提权”漏洞,攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞,威胁程度极低,所以大多数厂商只是通过版本性的升级来解决这个问题。近日,一家IT媒体报道的微软“本地提权”漏洞,影响到1993年之后的所有windows版本。在长达17年的时间里,即使网上已经公布了利用代码,也没有任何黑客利用此漏洞成功进行攻击。

 

第二件事,奇虎与金山之间的口水仗。 20091124,金山云安全监测中心发布了关于IE7 CSS 0day漏洞的安全新闻。但这样紧急的安全警报信息却被360污蔑为“金山误报微软0day漏洞”,并通过论坛、媒体大肆散布相关谣言,对金山网盾进行污蔑攻击。而24日一早,包括微软、赛门铁克以及国家计算机网络应急技术处理协调中心分别对该漏洞信息进行的证实与通报。很多人这样说,奇虎打了自己的耳光,并成为了业界一大笑柄。

 

而在日前的“奇虎揭秘瑞星漏洞门”的事件中。这件事情的本质就是,奇虎将业界普遍存在的一个“本地提权”的漏洞给无限制放大了。关于“本地提权”漏洞,攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞,威胁程度极低,所以大多数厂商只是通过版本性的升级来解决这个问题。近日,一家IT媒体报道的微软“本地提权”漏洞,影响到1993年之后的所有windows版本。在长达17年的时间里,即使网上已经公布了利用代码,也没有任何黑客利用此漏洞成功进行攻击。

 

又是奇虎的问题来了。就在昨天,21日,一个新闻爆料,奇虎360安全卫士存在本地提权漏洞,经瑞星互联网攻防实验室验证确认,该漏洞确实存在,并影响360安全卫士全部版本。该漏洞在200911月曝出后,在长达3个月的时间内,奇虎360未作出任何反应。波兰安全组织NT Internals在网页上也确认了此漏洞,而且用红字标出奇虎360 的公司名称(http://www.ntinternals.org/advisory.php)。

 

据专家介绍,该漏洞与“瑞星漏洞”性质相似,均属于本地提权漏洞,由于本地提权漏洞只能在用户本地执行,所以黑客应用漏洞进行攻击的范围将受到很大限制,到目前为止还未出现实际攻击案例。同时,由于360漏洞会使黑客任意修改注册表,所以不排除被黑客开后门,进一步利用的可能性。此漏洞与“瑞星漏洞”相比,影响的后果将更加严重。奇虎这次是不是又打了自己的耳光呢?

 

这就是市场推广的无穷力量了。但这种无聊的炒作,损害的更多的是用户的利益。还是引用上面记者的话——闲暇时打上几场口水仗,广告费的确是免了一些,媒体们的工作是多了一些,但我们敬爱的用户们除了“被教育”和“再次被教育”之外,还经常会被喷得一头雾水。

 

还是遵守一点合理的市场秩序吧!其实,每个人、每家厂商都会有自己的尾巴,但没有必要大家互相掀开看一看,向大众提醒一下。这样吸引公众眼球的作法可以休矣。居心叵测!

 

  评论这张
 
阅读(758)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017