Windows XP漏洞引爆操作系统江湖大战

Jumbo

美国两家软件公司甲骨文（Oracle）和微软，最近在电脑操作系统的优劣上争得很厉害。

甲骨文近日宣布，越来越多公司开始选用其生产的Unix系统进行页面维护，而抛弃传统上微软最引以为傲的旗舰Windows，因为后者极易遭受黑客袭击。

　　在七周以来的大规模宣传中，甲骨文不断强调其Unix产品系列牢不可破，比Windows要稳定得多。随后，对该公司网站进行攻击的黑客大涨10倍。甲骨文副总裁监市场推广部负责人德维斯称：“具有讽刺意味的是，微软在自己的网站中也从不使用NT系统而选用Unix”。

　　当然，微软发对此加以否认，称该公司主页页面使用的就是Windows 2000和其改进产品Windows.Net。微软只有在Hotmail网络邮件系统中使用了Unix，但目前已开始转换成微软系统的工作。

　　两大软件巨头争得不可开交时，微软又因刚推出不久的Windows XP出现安全漏洞，逼使称霸操作系统的微软不得不改变策略。

Windows XP安全问题大

去年底微软为Windows XP的UPnP（Universal Plug and Play）漏洞推出了修正程式，美国联邦调查局的国家基础建设保护中心（NIPC　National Infrastructure Protection Center）后来虽然将这漏洞的评比从“停用UPnP”修正为“更新程式后，可继续使用UPnP”。但一些安全专家却表示，使用者除了更新程式外，最好还是停用UPnP，以避免更多安全问题出现。

　　微软去年底推出漏洞的修补程式后，NIPC的安全公告中即建议使用者关闭UPnP功能，以避免黑客利用此漏洞入侵电脑，甚至发动大规模的分散式阻断服务（Distributed-DoS）攻击。现在NIPC更新了这个安全公告，建议使用者立即安装修补程式后，可继续使用UPnP功能。

　　发现这漏洞的马菲特（Marc Maiffret）认为，UPnP通讯协定仍不成熟，尤其是安全部分更需要改进。“除非UPnP论坛修正这些题，但如果使用者用不到UPnP功能，就该把这项服务停用。”

　　分析师Russ Cooper也说，除非UPnP已臻成熟，否则微软就不该贸然支援这项功能。

UPnP架构是在2000年六月由“UPnP　Fourm”所提出，该论坛是由超过四百家不同类别的公司所组成的非营利性组织。UPnP可让网络上的装置互相找到对方，简化家用网络的安装过程。

　　UPnP论坛的总裁，同时也是微软首席产品经理Mark Lee说，该论坛有专属安全小组负责安全性问题；UPnP论坛也欢迎所有业者加入提供意见。

微软策略大调整  

微软的发言人则说，微软仍会全力支持UPnP。“许多客户都对UPnP表示极大的兴趣，尤其是现在支援UPnP的硬体已经愈来愈多。”微软安全回应中心的经理库柏（Scott Culp）说：“用不到UPnP的使用者可以将这功能关闭；但就算不关闭，安装修正程式后一样可保有其安全性。”

　　由于缓冲区溢位的问题，UPnP产生的漏洞会影响到Windows 98、98SE、ME、以及Windows XP等作业系统。UPnP能让电脑主动发现其他往路上的装置，例如印表机、扫瞄机等。

　　Windows XP本身即内建UPnP，系统预设值为开启，所以产生危机的机率最大；Windows ME亦内建UPnP，但预设值为关闭；至于其他作业系统，则必须先透过下载后，方能使用此一功能。最初NIPC认为这漏洞出在UPnP本身，追查后才发现是其它的元件出了问题。

微软公司产品频频发生安全漏洞，主席盖茨在写给员工的电子邮件中宣布，所有产品须进行重大的策略调整，安全性和隐私性应重於新功能。

　　盖茨将这项新策略命名为“值得信赖的运算”，并强调这是公司的当前要务，将决定公司能否实现.NET愿景、推出网络服务。他写道：“这项新重点，比其他工作更重要。我们若不如此，消费者会不愿或不能利用我们的其他突出成果。”盖茨表示：“我们面临增加功能和解决安全问题的两难抉择，我们必须选择安全。”“值得信赖的运算应像电力、自来水、电话服务一样方便取得、可靠、安全。”  

微软产品陆续发生重大安全漏洞。最新版本视窗XP作业系统有瑕疵，让黑客得以控制使用者的电脑，红色警戒电脑病毒一度让数千使用微软软件的电脑当机，Outlook电子邮件程式也漏洞百出。

　　各界抨击，微软一直把重心放在产品的功能性，比较不注重安全性，如视窗XP附加数位影音光碟（DVD）播放机软体、基本安全设施和新即时传讯程式。

隐私保护和稳定性也成为微软产品开发的新重点。盖茨表示，使用者应可控制自己的资料如何被使用，应让使用者可简单确认本身资讯的适当使用。分析师表示，这二个领域是微软.NET策略成败的关键。

　　虽然微软最新版本的作业系统XP稳定性受到肯定，但分析师对微软如何保护.NET顾客的隐私权，则没有多大把握。