有人出售Vista 0-day 攻击软件

　　安全服务提供商趋势科技发现犯罪分子在网上出售一种攻击软件，该软件能够攻击微软Vista的一个未打补丁的漏洞。

　　趋势的CTO Raimund Genes说，上个月，那些人在一个秘密的黑客论坛出售这些代码，要价是50000美元。

　　Genes不知道这些代码是否如它声称的那般有效，也不知道有没有人购买它，但是他说如果不至少提供一份可信赖的范例，这个论坛是不会允许卖者发布这个信息的。“我认为他这个代码确实能攻击一些漏洞，”Genes说。“问题是究竟有没有人买了这些代码。”

　　如果这些代码确实有效，那么它将是自11月底Vista发售给商业用户以来，人们发现的第一个严重漏洞。下个月Vista家用版即将发售。

　　微软在一份声明中说，他们正在调查趋势所说的这件事，但“还没有任何合作伙伴向微软汇报该漏洞，微软也没有与出售漏洞攻击软件的论坛交涉”。

　　如果有人买了这些代码——称为“zero-day”或者“0day”攻击——这个售价非常高。Raimund Genes说，一个典型的IE攻击软件的要价大约是5000美元。“这个开价50000美元，太高了，”他说，“也许那些人认为‘这是Vista系统上的第一份攻击软件，因此我可以卖个高价钱’。”

　　由于Vista不如微软XP或者Windows Server 2003操作系统那么普及，用这代码犯罪分子可攻击的用户也比较少。

　　“说实话，Vista 0day的售价应该低一点，”McAfee的Avert操作副总裁Joe Telafici说。“没有人会感染它。”

　　Telafici说，Vista商用版发布之初的前几个月所发生的安全漏洞事件比当初XP初发售时少得多。这主要是由于软件漏洞黑市的扩张，他说。安全专家说，几年前大多数攻击者的动机都是为了得到荣誉和名声，而现在他们成了网络犯罪分子，成为行踪更隐秘的专业人员了。

　　那些打算利用Vista漏洞的犯罪分子“在准备好攻击之前，将会把这些代码很好的隐藏起来的，”Telafici说。“如果明年我们才看到现在说的这个漏洞攻击软件，我一点也不会觉得奇怪。”

　　号称有史以来最安全的操作系统，刚一发售就出现了严重漏洞，现在连攻击软件都有人公开叫卖了。看家的操作系统尚且如此，那么用来进军安全市场的Windows OneCare Live又会怎样呢？