Gartner評論：.Net的安全隱憂

| | | | | | 留下回應

    

號稱是第一隻針對微軟.Net的病毒甜甜圈(donut)是由一位年僅19歲的捷克駭客所寫，看來即使微軟推出最新的.Net技術還是難逃安全問題的困擾。

此一最新安全問題其實是利用已知視窗漏洞進行重新包裝。企業級駭客可利用微軟中介語言(MSIL)寫出一隻道地的微軟組譯程式碼病毒。MSIL是.Net架構的中介程式碼，由於具有逆向相容特性(backward compatibility)，因此該病毒可感染包括Windows XP以及之前的Windows舊版作業程式。不過在Windows XP中，MSIL執行細節可正確防止該病毒的執行。

這並非Web服務病毒，因為它不會透過任何網路服務界面漏洞進行感染。媒體報導通稱該病毒為.Net病毒其實是因為對.Net一詞不瞭解。

.Net架構與Java一樣，都有利用可管理式的程式概念來處理諸如緩衝區溢位的安全議題，例如類別安全性執行等。不過由於具有逆向相容性，加上又是第一代新軟體，我們可想見未來與.Net相關的病毒絕對還會陸續出籠。而由於.Net一詞太過籠統，業界對於什麼才算是.Net漏洞仍將持續混淆不清。而消費者根本不管哪一支軟體出現漏洞，他們只知道.Net又有漏洞了。

微軟與軟體供應商都很清楚，機靈的駭客總是可以找出電腦軟體中的駭客，侵入現今網路上的5000萬台電腦。Gartner則再次呼籲企業再進行重大平台採購或更新時，應該將提昇安全議題的評估標準。若非透過市場壓力向軟體供應商施壓，商家與消費者都只會淪落在「駭客、更新程式、駭客」的惡性循環中。

微軟雖然在.Net架構中對程式碼作了大幅改善，但此次事件顯然再度證明安全議題仍是其最弱的一環。(陳奭璁摘譯)