Kaminsky在廠商發(fā)布補(bǔ)丁之前的幾個(gè)月提醒軟件供應(yīng)商在DNS(域名系統(tǒng))中存在著一個(gè)致命性的缺陷。
"在過(guò)去數(shù)個(gè)月內(nèi),他和伙伴的做法不僅是出于一種責(zé)任更是異常少見(jiàn)����。" CNET News的Robert Vamosi在專(zhuān)欄中對(duì)Kaminsky這樣評(píng)價(jià)到����。有了他們對(duì)供應(yīng)商的提醒廠商才能將安全軟件做得更好�。
本周�,安全研究員Robert "RSnake" Hansen 和Jeremiah Grossman同意取消即將在紐約舉行的OWASP美國(guó)安全會(huì)議上進(jìn)行的關(guān)于網(wǎng)絡(luò)攻擊的的演說(shuō),這是他們新研究出的成果���。他們給這個(gè)網(wǎng)絡(luò)攻擊起了個(gè)名:"Clickjacking"?�,F(xiàn)在��, Adobe公司可以在發(fā)布針對(duì)漏洞的代碼之前為一個(gè)應(yīng)用程序創(chuàng)建補(bǔ)丁�。如果沒(méi)有這些��,攻擊者將掌握對(duì)麥克風(fēng)����、網(wǎng)路攝影機(jī)和計(jì)算機(jī)上的音頻的控制,Dark Reading網(wǎng)站上的一份報(bào)告這樣說(shuō)到��。
"我一直有一種這樣的做事態(tài)度���。如果發(fā)現(xiàn)了一個(gè)普通的惡意漏洞�,最好的辦法只是去討論它,讓它得到公開(kāi)因而使得更多人關(guān)注它�����。" RSnake在Dark Reading上以第一人稱(chēng)寫(xiě)道:"不過(guò)����,我總是告訴自己����,如果我發(fā)現(xiàn)類(lèi)似于遠(yuǎn)程桌面控制的情況或者是同樣壞的什么東西,我是會(huì)讓供應(yīng)商知道的�。"
大部分研究人員與廠商之間的沖突都?xì)w結(jié)為時(shí)間。研究人員之所以招來(lái)廠商的憎惡就是因?yàn)樗麄儞屜日业搅塑浖写嬖诘穆┒?�。?duì)此�����,供應(yīng)商們十分希望研究人員能夠保持緘默��,直到他們做好修復(fù)的準(zhǔn)備�。研究人員則希望將這些漏洞盡早公之于眾以便讓依賴(lài)這些產(chǎn)品的人們了解自己正處于多么危險(xiǎn)的境地�����。同時(shí)���,將問(wèn)題公之于眾也可以對(duì)廠商們起到激勵(lì)的作用,免得他們?cè)诖_認(rèn)和修復(fù)問(wèn)題上拖拖拉拉地遲遲不給回復(fù)�����。
