本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。 通过购买订阅,您正在帮助确保未来能够持续发布关于塑造我们当今世界的发现和思想的具有影响力的故事。
在发现苹果在某些版本的 Mac OS X 操作系统中实施的 Java 软件存在安全漏洞六个月后,该公司正在发布修复程序。
该软件漏洞可能允许黑客在运行 Leopard 和某些 Tiger 操作系统的 Mac 上安装和执行恶意软件(恶意程序)。 一旦进入 Mac,恶意软件可能被用来窃取计算机中的信息。
安全研究人员声称,苹果几个月来一直无视他们关于这个问题的警告。 据软件制造商 Plausible Labs Cooperative, Inc. 创始人兼 前苹果程序员 Landon Fuller 在 5 月份的博文中称,五个月前,Java 漏洞被公开披露,并由 Sun Microsystems(开发和维护 Java 的公司)修复。 Fuller 还在他的网站上发布了一个概念验证黑客程序,演示了某人如何利用该漏洞攻击甚至控制他人的 Mac,计算机经销商新闻(CRN) 报道。
总部位于德克萨斯州奥斯汀的 Mac 安全软件制造商 Intego 上个月也发布警告,建议 Mac 用户在其 Web 浏览器中禁用 Java,直到苹果公司着手修复 Java 漏洞,信息周刊 报道。 Java 是一种编程语言,Sun 公司于 1995 年推出,旨在使同一软件能够在许多不同的计算机平台上运行。Java 中的漏洞可能导致 Mac 用户仅仅通过访问包含旨在利用该漏洞的恶意软件的网站(也称为“路过式”攻击)而遭到攻击。 据 Intego 称,编写此类恶意软件的黑客随后可以访问或删除易受攻击的 Mac 上的文件。
虽然华盛顿邮报计算机安全记者 Brian Krebs 写道,苹果公司在修复 Java 漏洞方面平均比 Sun 公司修复后晚大约六个月,但苹果远非唯一一家在修复其产品问题时拖延时间的大型软件公司。 众所周知,微软、甲骨文、思科和其他公司在披露和修复其软件中的安全漏洞时采取被动(而非主动)方法,有时会促使安全专家(如 Fuller 所做的那样)编写和发布利用这些漏洞的蓝图。
其中一个最臭名昭著的例子发生在 2005 年 7 月的黑帽安全会议上,当时年仅 24 岁的安全专家 迈克尔·林恩 做了一个演示,展示了如何利用思科软件中的安全漏洞来控制思科网络路由器。 当思科得知林恩在会议上所做的事情时,该公司要求黑帽会议从会议讲义中删除林恩的演示文稿,并获得法院命令,阻止林恩再次进行演示。 思科声称,它已于 2005 年 4 月发布了该问题的补丁,但 林恩反驳说,思科向客户淡化了安全问题的严重性,因此许多人没有费心安装它。
图片 ©iStockphoto.com/ 罗伯特·库普曼斯