近日,赛门铁克安全响应中心称,在国内广受欢迎的中文媒体播放器“暴风影音”中存在多个缓冲充溢漏洞,其中一些正在被主动攻击。赛门铁克表示该漏洞与“暴风影音”所使用的ActiveX控制插件有关,用户只需要浏览一个隐藏攻击代码的网站就有可能受到攻击。
赛门铁克介绍,针对该漏洞成功的攻击会允许任意代码对使用ActiveX控制插件(在此情况下即IE浏览器)的程序远程执行,让攻击者全面控制受到攻击的电脑。不成功的攻击可能会造成拒绝执行的情况,造成浏览器死机。这一漏洞已经确认在“暴风影音”2.8和2.9测试版中发现,其它版本有可能也会受到影响。赛门铁克Security Focus发布了代号为BID 25601的信息,该信息包括在厂家提供补丁之前的临时补救做法。赛门铁克还增加了针对漏洞的启发性检测Bloodhound.Exploit.160。
赛门铁克提醒用户,在尽情享受影音所带来的欢乐时,也别忘了注意网络安全,除了保持系统、病毒定义文件在最新状态外,更重要的是提升安全防护等级,选购诺顿网络安全特警,或诺顿360等具有双向防火墙及入侵检测功能的安全产品。
对此消息,暴风影音对赛门铁克进行了严厉谴责,暴风影音相关负责人回应称实际暴风影音早在9月10日就已经在网友的帮助下发现并解决了这个漏洞,并于当天为绝大多数的用户完成了安全升级,用户可以放心使用。赛门铁克作为一家有影响力的信息安全服务商,在事件已经解决的10天后发布单方面的信息,不仅误导了广大暴风影音的用户,而且对暴风影音的名誉造成了重大的损害。对于赛门铁克这样不负责任的行为,暴风影音表示谴责并保留进一步行动的权利。
附:赛门铁克安全建议:
• 不要打开来自未知或不受信任来源的链接
• 为减少针对HTML电子邮件的利用,配置电子邮件客户端,将信息以文本形式体现
• 以无特权用户(non-privileged)身份运行全部软件,保持最低的访问权限
• 为减少隐性漏洞造成的影响,总是以无特权用户身份运行非管理员软件,保持最低访问权限
• 部署网络入侵检测系统,监控网络流量防范恶意行为
• 部署NIDS监控网络流量,监测异常或可疑行为
• 设置Web浏览器安全检测,阻止执行脚本代码或活跃内容
• 部署多重冗余层安全检测
• 根据策略检查并调整默认设置
暴风影音MPS.DLL ActiveX控件多个远程缓冲充溢漏洞小档案:
暴风影音ActiveX控件存在多个缓冲充溢漏洞,无法正确执行针对用户提供数据的边界检查。成功的攻击可以令远程攻击者执行针对ActiveX控件应用程序(特别是IE浏览器)的任意代码攻击。失败的漏洞利用企图可能导致拒绝式服务情况的出现。
发现时间:2007年9月8日
受感染版本:“暴风影音”2.8版和“暴风影音”2.9测试版
风险级别:高
网友评论