中国少年发现微软网页浏览器严重漏洞

刘蝶雨(音译 Liu Die Yu )是湖南湘潭的一名学生,20岁左右,与父母同住,目前正在学习合成电路和处理器。他去年被北京的微软亚洲研究所(Microsoft Research Asia)召聘为研究员,因为他发现了数个IE (Internet Explorer) 浏览器的漏洞。所有这些安全漏洞的细节已被公布。

澳洲时代报 (The Age) 四月九日的报导中采访了这位中国少年。刘表示:“我帮助他们发现了大约20个IE的安全漏洞,他们付给了我大约400美元。”对这些金钱他不太介意,他更感兴趣的是看到漏洞数据库(bug database).。

刘说:“但不久我失望了,微软总部的人告诉我永远不可能接触到漏洞数据库。”对微软公司此举,刘十分恼怒,他说公司曾经承诺过他,他感到自己被欺骗了。刘脸色苍白的回到了家乡湘潭。

之后,他发誓要找到 IE 的一个能远端攻击的漏洞,并把代码公布世界。2003年11月25日刘公布了IE 5.01, 5.5 及 6.0 版本的严重安全漏洞,远端攻击者可以编写恶意的网页放置于网站上,利用这个安全漏洞让浏览者直接下载并执行任意程式,远端攻击者甚至可以存取受害者电脑里的资料。刘将攻击此漏洞的程式代码公布于网站及公开的邮件群组,攻击者有可能进一步利用来编写成病毒或木马程式,实现对目标计算机的任意控制或破坏!

2003年11月27日微软的发言人表示,微软担心这些关于IE漏洞的新发现,发现者公布代码是不负责任的,这样将有可能导致计算机用户面临风险。

刘随后十分后悔。一位英国男士写信给他,一台属于他顾客的电脑系统遭到了破坏,并且非常可能是使用了刘的代码。从这之后,他继续公布所发现IE漏洞的细节,但停止了公布代码。

最近,刘编写了一个应用程序级的防火墙(application-level firewall) ,用来阻止“零日期”(zero-day ) 漏洞的利用,并把有关的细节在Bugtraq的电子邮件上公布。任何人可以下载他的应用程序,有人正在着手改进他的程序。

基地在华盛顿州的微软发言人表示:“作为政策,微软对前雇员及现雇员的工龄长短或工作细节不做评论。...微软的分部经常和当地学生合作,在最先进的研究室环境里为他们提供现实世界的经验。刘蝶雨就是属于其中的一名学生,他被授权有限度的使用微软在中国的研究室。...基于对个人隐私的尊重,任何关于刘蝶雨或其个人经历的具体问题,必须问他本人。”

刘表示将继续他的工作和兴趣,令他万分感动的是电脑安全领域的同行为他捐赠了资金以便他能得一台新的膝上型电脑。


大纪元

本文留言

近期读者推荐