6月17日,uusee官方发布漏洞声明。在声明中仓促的宣布漏洞威胁已解决,而声明中除了推脱责任外,三项补救措施无一合理。
1.软件出现漏洞后,没有发布紧急升级补丁和使用强制升级,而是要求全体uusee2008用户重新下载安装新版本,同时漏洞信息公开很不通明,绝大多数UUsee户蒙在鼓里。
依据超级巡警团队的测试发现网上大多数UUsee下载站,到目前为止依然没有把UUsee更新到最新版本,并且在UUsee软件界面上根本没有任何威胁提示。登陆UUsee官方网站,看不到任何有关漏洞的预警提示信息。这样等于把绝大多数不知情的uusee用户完全暴露在危险当中。uusee控件0day属于高危漏洞,可以在后台自动下载任何病毒和木马,对用户群庞大的uusee用户将造成巨大的损失。
2.曲解微软数字签名的含义,给用户带来误导。
UUSee官方的在漏洞声明中强调禁用“已下载的没有微软签名的ActivX控件”,就可以保证用户安全。而事实上包含微软数字签名只能代表文件出自软件官方。换换句话说,包含有微软数字签名并不能代表软件中没有漏洞。而讽刺的是UUSee2008出现漏洞的那个dll就包含有微软的数字签名。
3.推荐用“卡巴斯基”打补丁。
UUsee在官方漏洞声明中包含一个用卡巴斯基扫描自己的截图,以证明自己发布新版本没有漏洞。有一点安全常识的网友都了解,卡巴斯基是一款杀毒软件,不具备漏洞扫描功能,也不能下载漏洞补丁,而uusee官方在漏洞声明中赫然写着推荐用卡巴斯基下载补丁。
附:数据安全实验室推荐解决方案
1、下载使用超级巡警安装uusee临时漏洞补丁,或者安装畅游巡警防御利用uusee漏洞的木马.
2、卸载UUsee,安装其他网络电视。
Intel Atom 230 1.6GHz性能实测[5月30日] 华硕M2-CROSSHAIR II性能测试[5月30日] D-Link新11n无线路由器评测[5月28日] 四核CPU误区全方位解疑[5月27日] P45芯片市场前瞻分析[5月22日] Atom处理器真实性能实测[5月22日] 迅驰2平台测试成绩抢先曝光[5月21日] 酷睿2 E7300 CPU超频测试[5月20日] DX10整合配置未来升级9600GT模拟…[5月19日]
>>>您现在的位置: 
百度搜藏