中國少年發現微軟網頁瀏覽器嚴重漏洞

劉蝶雨（音譯 Liu Die Yu )是湖南湘潭的一名學生，20歲左右，與父母同住，目前正在學習合成電路和處理器。他去年被北京的微軟亞洲研究所（Microsoft Research Asia）召聘為研究員，因為他發現了數個IE (Internet Explorer) 瀏覽器的漏洞。所有這些安全漏洞的細節已被公布。

澳洲時代報 (The Age) 四月九日的報導中採訪了這位中國少年。劉表示：「我幫助他們發現了大約20個IE的安全漏洞，他們付給了我大約400美元。」對這些金錢他不太介意，他更感興趣的是看到漏洞資料庫(bug database).。

劉說：「但不久我失望了，微軟總部的人告訴我永遠不可能接觸到漏洞資料庫。」對微軟公司此舉，劉十分惱怒，他說公司曾經承諾過他，他感到自己被欺騙了。劉臉色蒼白的回到了家鄉湘潭。

之後，他發誓要找到 IE 的一個能遠端攻擊的漏洞，並把代碼公布世界。2003年11月25日劉公布了IE 5.01, 5.5 及 6.0 版本的嚴重安全漏洞，遠端攻擊者可以編寫惡意的網頁放置於網站上，利用這個安全漏洞讓瀏覽者直接下載並執行任意程式，遠端攻擊者甚至可以存取受害者電腦裡的資料。劉將攻擊此漏洞的程式代碼公布於網站及公開的郵件群組，攻擊者有可能進一步利用來編寫成病毒或木馬程式，實現對目標計算機的任意控制或破壞！

2003年11月27日微軟的發言人表示，微軟擔心這些關於IE漏洞的新發現，發現者公布代碼是不負責任的，這樣將有可能導致計算機用戶面臨風險。

劉隨後十分後悔。一位英國男士寫信給他，一臺屬於他顧客的電腦系統遭到了破壞，並且非常可能是使用了劉的代碼。從這之後，他繼續公布所發現IE漏洞的細節，但停止了公布代碼。

最近，劉編寫了一個應用程序級的防火牆(application-level firewall) ，用來阻止「零日期」(zero-day ) 漏洞的利用，並把有關的細節在Bugtraq的電子郵件上公布。任何人可以下載他的應用程序，有人正在著手改進他的程序。

基地在華盛頓州的微軟發言人表示：「作為政策，微軟對前僱員及現僱員的工齡長短或工作細節不做評論。...微軟的分部經常和當地學生合作，在最先進的研究室環境裡為他們提供現實世界的經驗。劉蝶雨就是屬於其中的一名學生，他被授權有限度的使用微軟在中國的研究室。...基於對個人隱私的尊重，任何關於劉蝶雨或其個人經歷的具體問題，必須問他本人。」

劉表示將繼續他的工作和興趣，令他萬分感動的是電腦安全領域的同行為他捐贈了資金以便他能得一臺新的膝上型電腦。

大紀元 看中國網站 禁止建立鏡像網站 。

短网址: 版權所有，任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。