ITnews 版 (精华区)

发信人: aoxd (东东), 信区: ITnews
标  题: 安全专家称Hotmail和雅虎邮件存在安全漏洞
发信站: 哈工大紫丁香 (2001年06月04日11:26:24 星期一), 站内信件

----
http://www.sina.com.cn 2001年06月03日 13:52 ZDNet China
　　近日，一位网络安全专家在本周称，hotmail和yahoo mail存在安全漏洞，尽管不是
毁灭性的，但可能被用来制作一种蠕虫病毒，阻碍互联网络邮件传输服务器。
　　发现这一漏洞的是一个叫Matt Parcens的独立软件专家，他说，这一弱点可使黑客
制造一封含有超文本链接程序的电子邮件，如果使用这种有缺陷的电子邮件服务程序的
用户打开了这份电子邮件，超文本程序将会开始运行，这将使操纵私人收件箱和发送电
子邮件成为
可能。
　　Matt Parcens在一封给CNETNEWS.COM的电子邮件称，这个网络蠕虫程序在短期内危
害极大，但从长远来说，其危害并不大，因为这一网络蠕虫程序的运行的先决条件是一
个漏洞必须存在于提供邮件服务的同一服务器上，这就大大限制了可能出现的漏洞数量
。如果这一程序设计恰当，那么超文本链接程序将会自行进入受害者的信箱，其结果将
导致信件有如洪水般涌入。
　　6月1日，微软承认其网络邮件发送服务程序存在安全漏洞，但这一漏洞已在周五下
午被弥补。微软安全中心的经理Steve Lipner说，我们这个漏洞已交由hotmail处理，他
们已在下午将其弥补。Yahoo mail在太平洋夏令时间下午五点三十分时还没有将这个漏
洞弥补好，但是公司的一位代表称，截止当天，漏洞已被弥补。5月31日，关于这一程序
弱点的详细情况已被公布于安全信息表。Linper说，“Parcens声称，他已在5月23日和
微软和雅虎接触过，但微软直到看到报告才知道这一漏洞的存在”。Parcens说他已将这
个信息发送至hotmail的几个网址。但并没有通过正常的渠道发送到security@microsof
t.com。他说“我已通过我在hotmail的网站上可以找到的最佳途径通知了该公司。”
　　尽管两大公司已弥补了这个漏洞，但只要这一程序漏洞可以阻碍服务器，那么危险
还将可能出现在6月2日早晨。事实上如果一个简单的处理就可以防止危险的发生，那么
这个特殊的安全漏洞在短期内仍将存在。典型的，当这个弱点存在于一个应用软件中时
，微软不得不发出补丁程序，期望用户下载安装。
　　Lipner说，我们不喜欢这些事情的发生，但对于hotmail的服务器方面来说，最好的
办法也只能是发现一个漏洞弥补一个漏洞。
　　

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: pe5.hit.edu.cn]