美國安全公司粗心大意致DNS漏洞詳情提前曝光

　　21日美國一家名為Matasano Security的安全公司由于疏忽大意，在回應另一家安全公司所作出的技術推測問題時，竟然在公司博客上披露了一個互聯(lián)網(wǎng)域名服務器(DNS)重大漏洞的生機機制和其他相關技術細節(jié)。雖然Matasano在不久后即刪除了這篇文章，但外界可通過Google搜索來查找其他網(wǎng)站轉載的相應原文。

　　美國網(wǎng)絡安全產(chǎn)品和服務提供商IOActive安全研究員丹·卡明斯基(Dan Kaminsky)于半年前首先發(fā)現(xiàn)了這一DNS漏洞。業(yè)界專家稱，如果該漏洞不及時得到修補，黑客很有可能借機控制網(wǎng)絡流量?？魉够脖硎?，利用上述DNS漏洞，黑客們不但可以攻擊企業(yè)用戶的內部計算機網(wǎng)絡，而且還可竊取用戶電子郵件和其他機密商業(yè)數(shù)據(jù)。

　　在發(fā)現(xiàn)該DNS漏洞后，卡明斯基馬上與微軟等科技巨頭取得了聯(lián)系。過去數(shù)月中，各大計算機業(yè)巨頭一直忙于修補該漏洞，并于上周發(fā)布了一款軟件補丁?？魉够硎?，在各大企業(yè)用戶安裝這款DNS漏洞補丁之前，不會對外公布該漏洞的技術細節(jié)，而會等到在今年8月舉行的“黑帽”(Black Hat)安全技術大會上再公布相關資料。

　　但21日逆向工程技術公司Zynamics首席執(zhí)行官哈爾瓦·弗萊克(Halvar Flake)在一則博客中表示，他本人已推測出該DNS漏洞的生成機制。而本來已了解到該DNS漏洞技術情況的Matasano則馬上也撰文稱，弗萊克的推測基本正確。這篇文章寫道：“弗萊克猜得很準確，與卡明斯基即將公布的技術細節(jié)大體相似。”

　　在意識到自己“犯錯”后，Matasano21日晚些時候隨即發(fā)布了致歉聲明，稱公司“惹下了大禍”：“周一有人對某個DNS漏洞生成機制進行了推測，而Matasano隨后發(fā)布文章對此加以證實。這是我們工作中的失誤，我們對此深表遺憾。雖然我們已及時刪除了相關文章，但文章要在互聯(lián)網(wǎng)傳播開來，僅僅需要數(shù)秒鐘時間而已。”

　　對于21日本不應該發(fā)生的上述事件，最早發(fā)現(xiàn)該DNS漏洞的卡明斯基表示，鑒于該漏洞技術詳情已被提前泄露，目前全球各大企業(yè)要做的工作是：趕快安裝該DNS漏洞的補丁程序。他說：“事不宜遲，(各大企業(yè)用戶)應趕快在今天安裝補丁，而不要拖到明天再做。”