6月16日,業內媒體曝光出UUSee軟件存在高危0day漏洞,可導其用戶電腦后臺自動下載大量木馬病毒。17日,UUsee官方做出回應,宣稱是自己發現的漏洞,并已經解決漏洞危機。然而,面對uusee官方的回應聲明的內容,很多專業安全人士卻十分質疑。
曝光此次uusee漏洞的超級巡警軟件官方表示,uusee官方針對0day漏洞回應的態度和處理方案都十分消極,主要體現在以下三個方面:
1、悠視官方本月17日發布的漏洞聲明和解決方案中,針對包含漏洞的uusee2008版本沒有運用緊急強制性升級,而是要求用戶重新下載并安裝最新版本。而在uusee軟件界面和官方論壇看不到任何有關漏洞威脅的提示,絕大多數用戶對漏洞毫不知情。
(圖1 uusee的新版軟件下載中毫無漏洞相關信息)
2、UUsee官方的漏洞回應中存在誤導,其中UUsee安全專家強調禁用“已下載的沒有微軟簽名的ActivX控件”,就可以保證用戶安全。而事實上包含微軟數字簽名只能代表文件出自軟件官方。換換句話說,包含有微軟數字簽名并不能代表軟件中沒有漏洞。而諷刺的是UUSee2008出現漏洞的那個dll就包含有微軟的數字簽名。
3、UUsee官方漏洞回應中還包括一些常識性的錯誤,其中運用了一個用卡巴斯基掃描自己軟件的截圖,以證明自己發布新版本沒有漏洞。有一點安全常識的網友都了解,卡巴斯基是一款殺毒軟件,不具備漏洞掃描功能,也不能下載漏洞補丁,而uusee官方在漏洞回應聲明中赫然寫著推薦用卡巴斯基下載補丁。
目前仍有很多下載站的提供含有漏洞的uusee2008供網友下載。同時,由于uusee沒有全面發布漏洞威脅預警和更新提示,絕大多數用戶認為沒有理由去下載最新版本。截至10日超級巡警團隊已經捕獲27個利用uusee漏洞的木馬。超級巡警漏洞研究人員表示,從漏洞被全面公開到廠商修復漏洞的時間段,軟件使用者是最危險的。 
(圖2含有漏洞uusee版本,被黑客利用后成了一款“木馬病毒下載器”。黑客可以輕松構造任意惡意程序下載到用戶機器上。)
在當前的網絡威脅中,每個漏洞威脅都不是孤立存在的,用戶電腦中一個軟件漏洞被黑客利用,那么整個系統防御壁壘將有可能被完全攻破。做個比方:uusee軟件在網吧安裝的比較普遍,那么黑客僅僅利用一臺含uusee漏洞的電腦,就可以不斷給機器自動下載機器狗、磁碟機等病毒和盜號木馬,盜取其他網絡游戲賬號,甚至間接感染整個網吧,帶來一系列連帶威脅。目前廣泛流行的Flash播放器漏洞,已經充分給互聯網黑色產業鏈利用,目前已給網吧、網游公司、電子商務交易等許多互聯網相關行業帶來嚴重損失。可見一款流行軟件的安全問題不僅僅涉及到自身利益,還關系到其他相關行業的切身利益。縱觀國內如熊貓燒香、機器狗病毒集中爆發事件,都不乏同一時期某些通用軟件的0day漏洞處理不夠通明、果斷等因素,而這一重要因素往往被公眾視線所忽略。
數據安全實驗室(www.sucop.com)研究顯示,2008年互聯網黑色產業鏈高速發展包含多方面因素,其中之一是黑客事件中“責任承擔模糊“的問題。比如網站被掛馬或軟件存在漏洞被利用。表面上看這些站長或軟件作者是”受害者“,而事實上一些站長以及軟件作者和黑客之間存在千絲萬縷的聯系。由于涉及情況復雜,取證或者定位這種責任目前難于實現。單純從“網絡地下經濟”技術的實現角度來看,縱容軟件漏洞的軟件商也“參與”到黑色產業鏈條當中,并且其危害更巨大。因為黑客可以利用這些通用軟件的漏洞,輕松繞過已和它們建立信任關系的殺毒軟件。
web2.0與p2p數據流技術讓很多軟件走紅網絡。在國外同行眼中,安全問題被視為其發展中不可忽略的先決條件。在國內,迅雷和騰訊公司的安全意識在業內比較突出,它們在面對產品的0day漏洞以及和安全廠商溝通合作上,體現出積極的態度。騰訊公司作為一家即時通信行業公司,卻在每年定期舉辦安全峰會,邀請國內外安全廠商一同探討最前沿的安全技術。迅雷公司則和超過5家以上安全廠商保持長期合作。筆者以為,單純把0day漏洞看成技術缺陷是片面的,每年圍繞微軟的0day曝光最為普遍,但眾所周知微軟的程序代碼中的安全構架卻并不單薄。黑客對0day漏洞挖據的“深度”往往取決于軟件的影響力和商業價值。一些公司把0day漏洞威脅單純的視為負面新聞,一味的搞媒體公關危機的同時卻忽略了其用戶的安全性。當前網絡社區”口碑營銷“走紅的趨勢來看,注重用戶的利益才是軟件廠商立足于網絡的的根本。
