.Net难逃厄运 安全问题让人担忧

　　号称是第一只针对微软.Net的病毒甜甜圈(donut)是由一位年仅19岁的捷克黑客所写，看来即使微软推出最新的.Net技术还是难逃安全问题的困扰。

　　此一最新安全问题其实是利用已知窗口漏洞进行重新包装。企业级黑客可利用微软中介语言(MSIL)写出一只道地的微软组译程序代码病毒。MSIL是.Net架构的中介程序代码，由于具有逆向兼容特性(backward compatibility)，因此该病毒可感染包括Windows XP以及之
前的Windows旧版作业程序。不过在Windows XP中，MSIL执行细节可正确防止该病毒的执行。

　　这并非Web服务病毒，因为它不会通过任何网络服务界面漏洞进行感染。媒体报导通称该病毒为.Net病毒其实是因为对.Net一词不了解。

　　.Net架构与Java一样，都有利用可管理式的程序概念来处理诸如缓冲区溢位的安全议题，例如类别安全性执行等。不过由于具有逆向兼容性，加上又是第一代新软件，我们可想见未来与.Net相关的病毒绝对还会陆续出笼。而由于.Net一词太过笼统，业界对于什么才算是.Net漏洞仍将持续混淆不清。而消费者根本不管哪一种软件出现漏洞，他们只知道.Net又有漏洞了。

　　微软与软件供货商都很清楚，机灵的黑客总是可以找出计算机软件中的漏洞，侵入现今网络上的5000万台计算机。Gartner则再次呼吁企业再进行重大平台采购或更新时，应该将提升安全议题的评估标准。若非透过市场压力向软件供货商施压，商家与消费者都只会沦落在“黑客、更新程序、黑客”的恶性循环中。

　　微软虽然在.Net架构中对程序代码作了大幅改善，但此次事件显然再度证明安全议题仍是其最弱的一环。