日前,某安全专家提出警告,通过流行的RSS或者Atom feeds来阅读博客可能会导致用户受到黑客攻击。
SPI Dynamics网络安全公司的安全工程师鲍勃奥格在星期四的黑帽安全大会上说,攻击者可以将恶意Java脚本插入到RSS的数据feeds内容中,这样用户在使用流行的RSS或者Atom格式阅读博客时就会受到攻击。
奥格说,这个问题不仅涉及博客,实际上任何形式的信息feed都可能被利用来向信息的阅读者发送恶意代码。比如,人们通过RSS订阅邮件清单和新闻网站资讯也可能受到这种威胁的影响。
SPI Dynamics公司检查了许多用来阅读RSS和Atom feeds的网络应用软件和脱机应用软件。结果发现在很多情况下,通过feed发送出去的所有Java脚本都会在用户的计算机上运行,也就是说存在着受攻击的漏洞。 Java脚本是一种汇编语言,专家们认为牵涉到它的安全隐患越来越多。
攻击者可以建立一个恶意博客然后引诱用户订阅该博客的RSS feed。甚至,他们还可以在值得信任的正规博客的评论中加入恶意Java脚本来发动攻击。 奥格说:“许多博客都会将用户的评论收录到它们自己的RSS feed中。”
而且,攻击者还可以将恶意代码发到提供RSS或者Atom feeds的邮件清单上来发动攻击。目前feeds非常流行,因为它可以让用户将多个网站的信息流归整在一起,然后通过feed阅读器软件进行阅读,这样用户就不用登陆大量网站来阅读信息了。
许多流行的feed阅读应用软件都是有漏洞的,因为它们的设计者一般都没有在软件中添加安全性检查功能。尤其是,大多数的feed阅读软件并不会阻止feed中包括的Java脚本的运行。 奥格说,那些Java脚本原本是应该被禁止运行的。
另外,许多基于Windows系统的阅读软件都会使用IE浏览器来显示feed的内容,但是却不会使用基本的安全设置来分析隔离内容。内容中的Java脚本被下载到用户电脑上之后,完全可以自由运行,用户的电脑就完全暴露在攻击之下了。
奥格说:“我测试过的大部分阅读器软件都存在这种问题,比如Bloglines、RSS Reader、RSS Owl、Feed Demon和Sharp Reader等。”
奥格建议博客读者使用那些不存在安全漏洞的阅读器软件。另外,他还要求feed的发布者也应该保证他们提供的feed不会包含任何恶意Java脚本或者其他的恶意脚本。 但是他也指出,有些服务是利用feed中的Java脚本来发送广告的。
【责任编辑 林洪技】
