“红色代码”大施淫威 安全公司难辞其咎

　　 上周五，隐私基金会的首席技术官员史密斯对发现并公开了微软IIS软件中内存溢出漏洞详细资料的eEye Digital Security公司进行了谴责，他认为 eEye Digital Security不应该公布有关安全漏洞的详细资料。
　　
　　6月18日,eEye公布了IIS软件中存在漏洞的有关情况，微软在当天推出了纠正这一问题的补丁软件。
　　
　　上周三，计算机经济学公司估计“红色代码”病毒造成的损失高达20亿美元以上，全球有大约760000台计算机受到了感染。
　　
　　史密斯认为，这些数字都是被夸大了的。他表示，如果eEye只向使用IIS软件的大公司、组织通报有关情况，就可以使全世界节省下一笔清除“红色代码”病毒的费用了。
　　
　　eEye的首席黑客官员迈弗雷特对史密斯的看法进行了反驳，他否认了eEye对“红色代码”病毒负有间接责任的说法。作为不公开透露安全漏洞资料可能会伤害计算机用户的证据，迈弗雷特举出了去年春季出现的利用了IIS中另一个漏洞的病毒的例子。如果有关各方将有关信息进行公开，“红色代码”病毒可能就不会存在了。
　　
　　SecurityFocus.com的首席技术官员表示伊莱亚斯表示，安全专业人士需要详细的资料才能更好地处理有关病毒各方面的事宜。没有详细的资料第三方厂商就不能开发针对病毒的防治措施，在原软件开发商不能够独立完成防治措施和没有相应的规则只向专业防病毒公司提供详细资料的情况下，向公众公开也许是一种比较好的方式。
　　
　　发现过微软产品中几处漏洞的史密斯指出，他不会选择将如何利用安全漏洞的资料公之于众的方式。
　　
　　据计算机紧急事务响应小组（CERT）估计，在发作的前几天内，被“红色代码II”感染的计算机系统超过了15000台。CERT事故处理部门的负责人马蒂表示，尽管已经被宣扬得几乎是尽人皆知，但上周五仍然有几万台IIS服务器受到了感染。
　　
　　伊莱亚斯表示，尽管公开透露详细的漏洞资料对那些关心系统安全的人士有用，但也可能产生近期的负面影响。这样作尽管对不关心安全的用户造成了伤害，但在未来可能对他们有一定的帮助。
　　
　　（计算机世界网）