专家观点:这真的是一个超级严重的问题吗?那为什么天还没有塌下来?
赛门铁克公司定了一个全球威胁等级,称作ThreatCon,是这样定义的:“这是对全球威胁漏洞的一个量度,包含在赛门铁克DeepSight威胁管理系统中提供给用户。”上周二,赛门铁克对Windows中的WMF漏洞所带来的潜在威胁定级为3(一共有4级)。2004年7月的MyDoom.M之后,ThreatCon还没有定过这么高。MyDoom.M的威胁达到了最高的4级,我觉得,这应该表示“全球核战争”爆发那么危险了吧。MyDoom.M之前,2004年5月的Sasser病毒达到过3级。
不用说,ThreatCon的3级并不常见,从2004年7月以来的这段时间真可谓是风平浪静。也可以说是赛门铁克公司对WMF漏洞过于关注吧。这样也说得通,他们害怕如果每个人都可以自我保护,如果更新了的防病毒软件就可以保护用户,那还是有大量完全暴露未受保护的系统。挺起来有点自相矛盾,但就算是为了讨论问题吧。
微软说有半数的系统没有受到更新了的防病毒系统的保护,大多数人都认识50%还算是比较乐观的数字,实际情况会更糟。
赛门铁克并不孤独,对于这个问题,也许最有影响力的言论要数英特网风暴中心的Tom Liston写的了:“我写过好几本日记,我经常胡言乱语或者讲点笑话,但现在,我要非常坦率而诚恳地说:微软的WMF漏洞很糟糕,非常非常糟糕。”
既然微软以及宣布他们提前发布补丁,我打赌赛门铁克会降低评定等级。但是,当然了,有很大一部分用户没有打补丁,他们仍处于危险之中。故事远未结束。
一开始我也非常关心,但这个漏洞总是让我感觉不属于“精英”等级。最著名的网络蠕虫还是非Blaster和Sasser莫属。他们可以仅仅通过网络发送命令和数据就能够发起远程攻击,你只有重装Windows操作系统并下载最新补丁才可以修复。相比之下,WMF漏洞让我们好受多了,如果用户不随便点击链接或者打开附件,那么没有一台计算机会中毒。
除了这一点之外,还有其它一些减轻威胁程度的因素,何况现在已经发布了补丁,威胁等级更应该降低了。至少我认为应该降低,并且也不是只有我一个人这样认为,虽然我们只占少数。
微软看起来也觉得应该降低等级。我敢肯定,他们提前发布补丁主要是因为要抢在第三方补丁之前发布,他们这样做是因为用户很焦虑,而不是因为真正的威胁等级。
微软按月定期发布补丁的原因是要让IT部门对此做好准备,能够有规律地工作。因此,促使不定期发布补丁的原因只有两个,一个是情况万分紧急,另外一个就是IT部门很焦虑,他们想要补丁。我觉得这次应该属于第二种。
那么怎样解释不同的观点呢?当然了,我在这里不是一个局外人,所有到底我有多么客观,也不太好说。但我确实看到了一些影响因素。
一个有争议的话题是,到底有多少用户什么都不懂,会在未受保护的计算机上打开陌生人发来的附件,或者点击链接。
我的论点是,几乎所有的这样中毒的人都早已经中了广告软件或其它形式的恶意软件。单纯利用WMF漏洞攻击这些机器的话,不会给恶意软件“生态系统”增加什么;这些机器有的东西早已有了。
多年来,我一直认为,被顶级蠕虫感染的系统一连串地感染了所有的蠕虫。原因并不难,或者是因为计算机用户打开了每一个附件,或者是因为有人用后门安装了新的恶意软件。
但是,有许许多多的计算机都不会这样遭到攻击,因为他们得到了很好的保护,做到这一点非常简单,也不用付出什么昂贵的代价。
我不得不说的是,我们从未看到甚至是轻微的广泛传播的攻击,这一点让我很惊奇。补丁发布已经一周了,我所看到的一切都还只是实验。
上周末的舆论是这样的:每一位从圣诞假期中回来的人都像走向屠宰场的羔羊,邪恶的WMF漏洞会通过英特网传播后门和色情。
我觉得WMF漏洞也许仅仅是比一个恶意的邮件蠕虫稍微严重那么一点点,他们疯狂的肆虐已经是多年以前的事了。最近的Sober攻击倒是非常严重的,但也没造成严重后果。
自从MyDoom.M之后,我们还没有再遇到真正可怕的病毒。MyDoom.M之所以能引起轩然大波,只是因为波及范围太大。
天已经很长时间没有塌下来了,可能,以后它就永远高高挂在上面了。