美安全公司DNS漏洞详情提前曝光

2008北京时间7月23日消息，据国外媒体报道，周一美国一家名为Matasano Security的安全公司由于疏忽大意，在回应另一家安全公司所作出的技术推测问题时，竟然在公司博客上披露了一个互联网域名服务器(DNS)重大漏洞 的生机机制和其他相关技术细节。虽然Matasano在不久后即删除了这篇文章，但外界可通过Google搜索来查找其他网站转载的相应原文
。
美国网络安全产品和服务提供商IOActive安全研究员丹·卡明斯基(Dan Kaminsky)于半年前首先发现了这一DNS漏洞。业界专家称，如果该漏洞不及时得到修补，黑客很有可能借机控制网络流量。卡明斯基也表示，利用上述 DNS漏洞，黑客们不但可以攻击企业用户的内部计算机网络，而且还可窃取用户电子邮件和其他机密商业数据。

在发现该DNS漏洞后，卡明斯基马上与微软等科技巨头取得了联系。过去数月中，各大计算机业巨头一直忙于修补该漏洞，并于上周发布了一款软 件补丁。卡明斯基表示，在各大企业用户安装这款DNS漏洞补丁之前，不会对外公布该漏洞的技术细节，而会等到在今年8月举行的“黑帽”(Black Hat)安全技术大会上再公布相关资料。

但本周一逆向工程技术公司Zynamics首席执行官哈尔瓦·弗莱克(Halvar Flake)在一则博客中表示，他本人已推测出该DNS漏洞的生成机制。而本来已了解到该DNS漏洞技术情况的Matasano则马上也撰文称，弗莱克的 推测基本正确。这篇文章写道：“弗莱克猜得很准确，与卡明斯基即将公布的技术细节大体相似。”

在意识到自己“犯错”后，Matasano周一晚些时候随即发布了致歉声明，称公司“惹下了大祸”：“周一有人对某个DNS漏洞生成机制进 行了推测，而Matasano随后发布文章对此加以证实。这是我们工作中的失误，我们对此深表遗憾。虽然我们已及时删除了相关文章，但文章要在互联网传播 开来，仅仅需要数秒钟时间而已。”

对于周一本不应该发生的上述事件，最早发现该DNS漏洞的卡明斯基表示，鉴于该漏洞技术详情已被提前泄露，目前全球各大企业要做的工作是：赶快安装该DNS漏洞的补丁程序。他说：“事不宜迟，(各大企业用户)应赶快在今天安装补丁，而不要拖到明天再做。”