Kaminsky在廠商發(fā)布補丁之前的幾個月提醒軟件供應(yīng)商在DNS(域名系統(tǒng))中存在著一個致命性的缺陷。
"在過去數(shù)個月內(nèi),他和伙伴的做法不僅是出于一種責(zé)任更是異常少見。" CNET News的Robert Vamosi在專欄中對Kaminsky這樣評價到。有了他們對供應(yīng)商的提醒廠商才能將安全軟件做得更好�。
本周���,安全研究員Robert "RSnake" Hansen 和Jeremiah Grossman同意取消即將在紐約舉行的OWASP美國安全會議上進(jìn)行的關(guān)于網(wǎng)絡(luò)攻擊的的演說����,這是他們新研究出的成果。他們給這個網(wǎng)絡(luò)攻擊起了個名:"Clickjacking"?�,F(xiàn)在����, Adobe公司可以在發(fā)布針對漏洞的代碼之前為一個應(yīng)用程序創(chuàng)建補丁。如果沒有這些����,攻擊者將掌握對麥克風(fēng)、網(wǎng)路攝影機和計算機上的音頻的控制���,Dark Reading網(wǎng)站上的一份報告這樣說到���。
"我一直有一種這樣的做事態(tài)度。如果發(fā)現(xiàn)了一個普通的惡意漏洞�����,最好的辦法只是去討論它����,讓它得到公開因而使得更多人關(guān)注它。" RSnake在Dark Reading上以第一人稱寫道:"不過,我總是告訴自己����,如果我發(fā)現(xiàn)類似于遠(yuǎn)程桌面控制的情況或者是同樣壞的什么東西,我是會讓供應(yīng)商知道的��。"
大部分研究人員與廠商之間的沖突都?xì)w結(jié)為時間����。研究人員之所以招來廠商的憎惡就是因為他們搶先找到了軟件中存在的漏洞。對此���,供應(yīng)商們十分希望研究人員能夠保持緘默�,直到他們做好修復(fù)的準(zhǔn)備���。研究人員則希望將這些漏洞盡早公之于眾以便讓依賴這些產(chǎn)品的人們了解自己正處于多么危險的境地����。同時��,將問題公之于眾也可以對廠商們起到激勵的作用��,免得他們在確認(rèn)和修復(fù)問題上拖拖拉拉地遲遲不給回復(fù)�。
