security issues in instant messaging

willyintown

挖掘即时通信系统的安全漏洞 \r\n\r\n作者： Robert Lemos (TechUpdate)\r\nThursday, July 25 2002 11:17 AM \r\n\r\n\r\nMatt Conover担心有些恶意网络用户也许知道他都不知道的关于即时通信系统的某些事情\r\n \r\n\r\n一个星期以前，一个专门寻找即时通信系统客户端漏洞的黑客、安全专家，宣扬了一个\r\nAOL Time Warner通讯系统中的一个缺点。因为他给了这个公司事前的警报，AOL修正了这个问题，\r\n人们还安全的。 \r\n\r\n是那些AOL和它的竞争对手都不知道的bug使Conover担心。 Conover 和安全工作组w00w00一起搜索bug\r\n，并为一家网络保护公司Entercept Security Technologies工作。他在最近的在温哥华、\r\n英国和哥伦比亚的CanSecWest会议上说：“有许多人知道那些漏洞，但他们没有说出来。”\r\n\r\n当即时信息系统快速成为桌面计算机的固定部分的时候，安全专家更加密切关注又相关的\r\n新应用程序引起的安全问题。迄今为止，还没有一个恰当的描述。在过去的一个星期中，\r\n安全专家在AOL Time Warner的Instant Messenger和Microsoft的Network\'s Messenger\r\n安装的一个部分中找到了一些漏洞。\r\n\r\neEye Digital Security 公司（这个公司上个星期发现了MSN Messenger的一个漏洞）\r\n网络顾问的首席黑客官员Marc Maiffret说：“应用软件的安全性越来越差，显现出来的漏洞\r\n他们仍在缓冲。”\r\n\r\nYahoo的即时通信系统也没能逃过漏洞。Yahoo IM用户设置Internet Explorer以从网络区域\r\n接受脚本的要求，为黑客和蠕虫入侵感染系统打开了安全通道。JavaScript和Active Scripting\r\n等脚本加入网页中，使为了交互性和扩展功能性，例如增加数据库的连接。然而，恶意网页和\r\n病毒能利用一个浏览器的脚本特点作为进入用户计算机的一条通道。\r\n\r\n包括允许脚本的Yahoo使今天互联网用户的一个规范。公司相信：“JavaScript可以被采用，\r\n当它仍能为我们的用户提供安全和丰富经验的时候。”Yahoo发言人Mary Osako说：\r\n“很大数量的Internet用户的默认设置中把JavaScript设为可用。”\r\n\r\n现在使用指导用户从全部Internet接受脚本，而不是仅仅从需要发送脚本使即时通信系统工作\r\n丰富的服务器上获得的方法，Yahoo使用户有了附加的危险。\r\n\r\n“这样的设置并不是最好的安全实践。”Symantec公司防病毒安全反应主管Vincent Weafer说，\r\n“现在我的浏览器处于打开模式，我受到被恶意网站感染的威胁。”\r\n\r\nNimda蠕虫病毒利用的正是这样一个漏洞。一旦它感染了以个网站的服务器，它会试图向每个\r\n服务器上的主页添加JavaScript，如果这些网站的访问者的电脑运行这些脚本，他们也会被感染。\r\n\r\n“现在还没有太多的关于JavaScript的主动运用。” Symantec\'公司的Weafer说，“这还不是\r\n一个巨大的问题。但是这也是你在你机器上运行的某种冒险。”\r\n\r\n反复强调了Yahoo对安全的关注，Osako说公司的安全小组将从另一个角度来看待这个问题。\r\n\r\nJabber即时通信系统的制造者Jeremie Miller指责对IM服务提供者之间的竞争缺乏补救措施，\r\n而且他们渴望把对手赶出局而不是集中精力增加他们IM协议的安全性。\r\n\r\n“这些系统根本不难保护，”Miller说，“然而，系统好象不是他们的目标，他们只是试图提供一种服务。”\r\n\r\n开放资源的Jabber成为一个几个大公司（像Walt Disney）和开放社区使用的通讯协议，发展的很慢\r\n。然而像其他独立的IM服务商一样，Jabber经常发现它在和别的系统的用户发信息的时候会被堵塞\r\n\r\nMiller还说，“Yahoo, Microsoft 和AOL制造的现在已经被关闭的系统趋向于更少的关注发展，\r\n这样带来了更多的bug。另一方面，Jabber作为一个开放资源，却有很多的批评。”\r\n\r\n“当你在处理协议和系统的内在发展问题的时候，你处理的是那些暗藏的角落，”Miller说，\r\n“在发展任何一个开放协议、任何一个开放标准的过程中，都必须要做更多的详细审查。”\r\n