uusee官方针对漏洞的声明再犯低级错误, 三项补救措施无一合理。

闪乐

漏洞不及时补上，真是不应该

jsedy

一、事件回放：

6月16日，数据安全实验室在畅游巡警用户举报的木马中，发现了利用uusee的高危0day漏洞，并在第一时间把木马样本和技术分析资料提交给uusee官方。

6月17日，uusee官方发布漏洞声明。在声明中仓促的宣布漏洞威胁已解决，而实际上声明中除了百般的推脱责任外，三项实质性的补救措施竟无一合理：

其一、软件出现漏洞后，竟没有发布紧急升级补丁和使用强制升级，而是要求全体uusee2008用户重新下载安装新版本，同时漏洞信息公开很不通明，绝大多数UUsee户蒙在鼓里。

   依据超级巡警团队的测试发现网上大多数UUsee下载站，到目前为止依然没有把UUsee更新到最新版本，并且在UUsee软件界面上根本没有任何威胁提示。登陆UUsee官方网站，同样看不到任何有关漏洞的预警提示信息。这样等于把绝大多数不知情的uusee用户完全暴露在危险当中。uusee控件 0day属于高危漏洞，可以在后台自动下载任何病毒和木马，对用户群庞大的uusee用户将造成巨大的损失。


其二、曲解微软数字签名的含义，给用户带来严重误导。

   UUSee官方的在漏洞声明中强调禁用“已下载的没有微软签名的ActivX控件”，就可以保证用户安全。而事实上包含微软数字签名只能代表文件出自软件官方。换换句话说，包含有数字签名并不能代表软件中没有漏洞。而讽刺的是UUSee2008出现漏洞的那个dll就包含有数字签名。


其三、开国际玩笑，推荐用“卡巴斯基”打补丁。

  UUsee在官方漏洞声明中包含一个用卡巴斯基扫描自己的截图，以证明自己发布新版本没有漏洞。有一点安全常识的网友都了解，卡巴斯基是一款杀毒软件，不具备漏洞扫描功能，也不能下载漏洞补丁，而uusee官方在漏洞声明中赫然写着推荐用卡巴斯基下载补丁。

二、数据安全实验室推荐解决方案：

1、下载使用超级巡警安装uusee临时漏洞补丁，或者安装畅游巡警防御利用uusee漏洞的木马.

2、直接卸载UUsee，安装QQlive等其他网络电视。


三、总结：

  近期，uusee网络电视获得了央视颁布的悠视网经正式授权，成为指定奥运赛事P2P直播媒体。而从08年安全信息界的种种迹象表明，奥运会期间的网络安全问题不容懈怠。希望uusee官方能够正视问题，积极解决。


附：
   6月16日超级巡警发布的uusee漏洞预警和解决方案：
   http://tech.sina.com.cn/s/s/2008-06-16/14052260800.shtml.

  6月17日UUsee官方发布的漏洞声明链接：
  http://article.pchome.net/content-647289.html