無論你如何勤勉地修補(bǔ)系統(tǒng)和保護(hù)你的電腦，它仍然有可能在未曾預(yù)見到的攻擊出現(xiàn)后的數(shù)個(gè)小時(shí)內(nèi)中招。這篇文章將為您講述零時(shí)差攻擊的危險(xiǎn)性以及它是如何利用安全漏洞的。

　　在電腦安全方面你并不曾懈怠。你隨時(shí)更新應(yīng)用程序，確保它們都是最新的版本，你也安裝了反病毒軟件。你很在意你瀏覽的是什么樣的網(wǎng)站，在電腦上安裝的是什么樣的軟件。

　　但是去年九月，如果你訪問過由HostGator(位于佛羅里達(dá)州的一家頂級(jí)主機(jī)托管商)托管的博客站點(diǎn)，你的瀏覽器就會(huì)立即被重定向到一個(gè)受病毒感染的網(wǎng)站，這利用的是一種古老的微軟圖形格式中存在的漏洞。

　　在幾秒鐘內(nèi)，惡意軟件就侵入了你的電腦

　　遭遇到這一切，是因?yàn)槟阋呀?jīng)淪為零時(shí)差攻擊的受害者??這種攻擊往往針對(duì)某種軟件的漏洞，當(dāng)漏洞剛被發(fā)現(xiàn)不久，還沒有任何補(bǔ)丁文件被發(fā)布并對(duì)已知問題進(jìn)行修復(fù)時(shí)發(fā)起的攻擊就叫做零時(shí)差攻擊。這個(gè)術(shù)語最初用來描述那些 “非正式”(也就是在研究實(shí)驗(yàn)室外)發(fā)現(xiàn)的漏洞在補(bǔ)丁發(fā)布的當(dāng)天就被利用來發(fā)起的惡意攻擊，這使得IT專家們沒有時(shí)間來堵上這個(gè)漏洞。

　　現(xiàn)在，零時(shí)差攻擊對(duì)于網(wǎng)上罪犯?jìng)兊膬r(jià)值正在飛漲中，因?yàn)檫@種攻擊可以侵入最新的、保護(hù)得當(dāng)?shù)南到y(tǒng)。例如，去年十月，趨勢(shì)科技的首席技術(shù)官Raimund Genes在一個(gè)網(wǎng)絡(luò)聊天室里注意到一條滾動(dòng)出現(xiàn)的廣告。一個(gè)黑客想出售測(cè)試版的Windows Vista里一個(gè)不為人知的漏洞，要價(jià)是令人瞠目的5萬美元，雖然Genes無從得知是否有人購買了那些代碼。

　　“現(xiàn)在有了不少有組織的地下機(jī)構(gòu)，”McAfee公司的安全研究經(jīng)理Dave Marcus說道，“網(wǎng)上罪犯?jìng)円呀?jīng)領(lǐng)會(huì)到他們能夠靠惡意軟件來發(fā)財(cái)了�！�

　　有利可圖的惡意軟件

　　惡意軟件可以是個(gè)“機(jī)器人程序”。例如，它能夠讓你的電腦傳播垃圾郵件，或者加入到拒絕服務(wù)式攻擊，把某個(gè)網(wǎng)站弄得崩潰而不能提供正常服務(wù)�！斑@比把一位老太太打倒在地，并搶走她的錢包要容易多了，”Marcus說，“這也是非常隱匿的，而且攻擊者可以舒服地坐在星巴克里發(fā)動(dòng)這一切，卻不會(huì)被絲毫察覺�！�

　　多虧改進(jìn)后病毒掃描技術(shù)不再完全依賴病毒定義文件，McAfee出品的反病毒軟件和其它安全軟件在保護(hù)計(jì)算機(jī)免受未知威脅的攻擊時(shí)變得更加出色了。此外許多新出現(xiàn)的免費(fèi)與收費(fèi)軟件都提供了針對(duì)零時(shí)差攻擊的主動(dòng)性保護(hù)，并盡可能地限制攻擊帶來的損失與破壞。

　　Jeff Moss，每年一度的BlackHat安全大會(huì)的發(fā)起者，認(rèn)為正確的安全設(shè)置能最大限度地保護(hù)你的電腦。但有目的的攻擊有時(shí)能夠突破重重防線�！澳憧梢再I一大堆防火墻、安全軟件和其它東西，”他說，“但只要某個(gè)軟件里存在著可以為零時(shí)差攻擊利用的漏洞，那么再多的防護(hù)也是無濟(jì)于事的。”

　　在補(bǔ)丁發(fā)布之前就發(fā)起攻擊的各種程序里，最危險(xiǎn)的是會(huì)偷偷地在后臺(tái)下載惡意軟件的那些。你只是很平常地瀏覽了某個(gè)被植入惡意代碼的頁面，或者是打開了一封受感染的HTML格式電子郵件，就會(huì)遭到入侵，你的電腦里會(huì)悄無聲息地被塞入各種間諜軟件，木馬程序或者其它惡意軟件。在2005年底到2006年底之間，網(wǎng)絡(luò)罪犯?jìng)兝�用一種不常被人們使用的微軟圖片格式中的漏洞，發(fā)動(dòng)了至少兩起這樣的零時(shí)差攻擊，并感染了數(shù)百萬臺(tái)電腦。

　　在HostGator遭到入侵的案例中，被黑客所利用的是IE瀏覽器在處理矢量標(biāo)記語言(VML)格式的圖片時(shí)出現(xiàn)的漏洞，這個(gè)漏洞一直沒有引起注意。VML是一種不常見的、用來創(chuàng)建3D圖像的標(biāo)準(zhǔn)格式。

　　在九月份，Sunbelt Software公司發(fā)現(xiàn)了這種類型的攻擊并向人們發(fā)出警告，它在俄羅斯的一家xxx圖片站點(diǎn)上發(fā)現(xiàn)了這個(gè)漏洞。漏洞本身就足夠危險(xiǎn)：如果你瀏覽過任何含有中毒圖片的網(wǎng)站，你的電腦就會(huì)被植入惡意程序。而攻擊者們清楚地知道如何讓危害擴(kuò)散得更大更廣。

　　利用網(wǎng)站管理工具cPanel里的一種未知漏洞，攻擊者們劫持了由HostGator托管的成千上萬個(gè)網(wǎng)站。訪問者瀏覽過這些完全合法卻中了毒的網(wǎng)站后，會(huì)被重定向到一些惡意網(wǎng)站，這些網(wǎng)站會(huì)利用VML漏洞發(fā)起零時(shí)差攻擊。

　　微軟的產(chǎn)品，如IE瀏覽器、Office辦公套件和Windows操作系統(tǒng)，是最常受到零時(shí)差攻擊(和其它類型的攻擊)的目標(biāo)。部分原因是它們占據(jù)了大部分的軟件領(lǐng)域。但是微軟過去犯下的沒能在產(chǎn)品開發(fā)時(shí)對(duì)安全性進(jìn)行充分考慮的錯(cuò)誤，也導(dǎo)致了它的軟件產(chǎn)品成為普遍的(也是容易攻入的)攻擊目標(biāo)。然而，Vista在安全方面有了長(zhǎng)足的進(jìn)步，至少在現(xiàn)在看來是這樣。
　　僅僅在2006年，就有四種直接或者間接針對(duì)IE 6瀏覽器的零時(shí)差攻擊。首先出現(xiàn)的針對(duì)IE 6的持續(xù)不斷的攻擊利用了在2005年底發(fā)現(xiàn)的漏洞。這種漏洞存在于Windows圖元文件格式(WMF)，當(dāng)IE呈現(xiàn)WMF圖片時(shí)就有可能受到攻擊。

　　在針對(duì)WMF漏洞的攻擊事件層出不窮并廣為人知后，微軟首先宣布隨著正常的補(bǔ)丁發(fā)布周期，它將在數(shù)周后發(fā)布一個(gè)補(bǔ)丁來修復(fù)此漏洞 ?? 但是由于攻擊事件的不斷出現(xiàn)和公眾的反對(duì)聲不斷上漲，它最終不得不在一月初發(fā)布一個(gè)計(jì)劃外的修復(fù)補(bǔ)丁。

　　然而補(bǔ)丁并沒有讓攻擊停止，這表示出零時(shí)差攻擊也可以有著很長(zhǎng)的時(shí)間效應(yīng)。與VML文件漏洞一樣，WMF漏洞也會(huì)導(dǎo)致電腦被暗中植入惡意程序，這是網(wǎng)上罪犯?jìng)冏钕矚g的攻擊方式之一，受害者無需點(diǎn)擊受感染的圖片就會(huì)中招。如果你通過Windows的自動(dòng)升級(jí)功能打上了微軟發(fā)布的補(bǔ)丁，那么你會(huì)沒事。但是很明顯，許多Windows用戶并沒有這樣做。

　　去年七月份，通過一家為上千個(gè)網(wǎng)站服務(wù)的廣告發(fā)行網(wǎng)絡(luò)公司，一幅藏匿著有害代碼、為Deckoutyourdeck.com網(wǎng)站做宣傳的廣告出現(xiàn)在MySpace和Webshots這樣的知名網(wǎng)站里。藏匿在旗幟廣告里的惡意程序會(huì)把木馬下載到訪問者的電腦里，它會(huì)帶來廣告軟件和間諜軟件。消息人士稱??到補(bǔ)丁在七個(gè)月后終于發(fā)布時(shí)為止??一共有上百萬人的電腦遭到入侵。

　　與針對(duì)IE瀏覽器發(fā)起的具有高危險(xiǎn)性的零時(shí)差攻擊不同，專門針對(duì)Word與其它Office軟件的攻擊不能通過下載來發(fā)起攻擊。而主要依靠誘使受攻擊者雙擊打開電子郵件附件??這通常用于有目的地攻擊某家特定的公司，即使是再小心的用戶也有可能不經(jīng)意就雙擊打開了附件。

　　向目標(biāo)企業(yè)的雇員發(fā)送假的(或者“欺騙性的”)郵件，把郵件偽裝得看上去像是來自某個(gè)同事或者是該企業(yè)內(nèi)的其它來源，黑客就有很大機(jī)會(huì)成功誘使收件人打開附件里的Word文檔。而如果郵件看上去像是來自于某個(gè)不知詳情的發(fā)件人，機(jī)會(huì)則小得多。

　　12月中旬，在公布Excel和PowerPoint等Office軟件含有可能被黑客利用發(fā)起攻擊的漏洞后，微軟再次確認(rèn)Word里有兩個(gè)漏洞也可能被黑客利用，并發(fā)起“危害非常有限并且目的明確的攻擊”。它向用戶發(fā)出警告不僅僅要警惕陌生發(fā)件人郵件里附件，同時(shí)也要對(duì)來自熟悉發(fā)件人的、未經(jīng)請(qǐng)求主動(dòng)提供的附件保持足夠的警覺。

　　微軟的產(chǎn)品或許是最普遍的零時(shí)差攻擊目標(biāo)了，不過其它的常用軟件也同樣面臨著受到攻擊的危險(xiǎn)。一月份研究人員公布了QuickTime播放程序里的一個(gè)漏洞， QuickTime在處理流媒體視頻文件時(shí)可能讓攻擊者入侵并控制受害者的電腦。2006年11月份Adobe ActiveX瀏覽器控件的一個(gè)漏洞也會(huì)導(dǎo)致受害者電腦被黑客控制。

　　零時(shí)差攻擊事件的涌現(xiàn)折射出每年公布的軟件漏洞數(shù)目在不斷地上升。據(jù)互聯(lián)網(wǎng)安全機(jī)構(gòu)Xforce所述，2006年軟件開發(fā)者與研究人員發(fā)現(xiàn)了7247個(gè)軟件漏洞，比起2005年多了整整39%。

　　但是，這些bug中的大多數(shù)不會(huì)被黑客利用并發(fā)起零時(shí)差攻擊。軟件公司經(jīng)常收到用戶反映的bug和程序崩潰的報(bào)告，并從中找到安全漏洞，然后在黑客利用這些漏洞發(fā)起攻擊前就進(jìn)行修復(fù)。如果其它安全專家發(fā)現(xiàn)了一個(gè)漏洞，他們(總之，大多數(shù)會(huì)是這樣)會(huì)按照一套行業(yè)慣例??被稱作“有道德地透露”??來處理，這套慣例是特別設(shè)計(jì)用來規(guī)避零時(shí)差攻擊的。

　　在“有道德地透露”原則下，研究人員首先會(huì)與軟件開發(fā)商聯(lián)系并告知所發(fā)現(xiàn)的漏洞情況。開發(fā)商在補(bǔ)丁就緒前不會(huì)發(fā)布相關(guān)公告。最先發(fā)現(xiàn)漏洞且沒有將其公布于眾的研究人員會(huì)受到公司的信任。
　　但有時(shí)候研究人員對(duì)于軟件開發(fā)商調(diào)查的進(jìn)度過慢而感到不滿，就會(huì)在漏洞被解決之前將問題告知給大眾。部分安全專家認(rèn)為這種策略雖然有些不妥但能促使頑固的開發(fā)商立即發(fā)布修補(bǔ)程序，有些專家則譴責(zé)這種行為，認(rèn)為這么做違背了行業(yè)慣例。

　　擁護(hù)這種行為的人們爭(zhēng)辯說如果研究人員發(fā)現(xiàn)了漏洞，那么黑客們有可能也發(fā)現(xiàn)了。聰明的黑客會(huì)小范圍、有目標(biāo)地發(fā)起攻擊，以避免引起生產(chǎn)商的注意而發(fā)布修補(bǔ)程序。不幸的是，大多數(shù)情況下，公布漏洞都會(huì)促成大規(guī)模的零時(shí)差攻擊。

　　另一個(gè)倍受爭(zhēng)議的行業(yè)慣例是“懸賞緝錯(cuò)”。有些組織，包括iDefense和3Com零時(shí)差攻擊項(xiàng)目(ZDI)，都會(huì)為向它們報(bào)告零時(shí)差攻擊漏洞的研究人員支付一定的賞金。 比如iDefense就提供了8000美元的資金，懸賞能提供IE 7瀏覽器和Vista系統(tǒng)漏洞的人。然后這些安全公司會(huì)向軟件開發(fā)公司坦誠相告所知的信息。盡管得到大眾的欽佩，但提供這些漏洞信息并沒能使研究人員賺到多少錢??大部分人都希望能從中撈上一筆，但得到的結(jié)果通常是軟件開發(fā)商的幾句感謝之辭。

　　或許更重要的是，安全公司的賞金與地下黑市正在為零時(shí)差攻擊而開展著競(jìng)爭(zhēng)。趨勢(shì)科技的Genes注意到的那位在聊天室里販賣Vista漏洞的家伙現(xiàn)在有可能已經(jīng)找到，或者還沒有找到一位愿意支付5萬美元的買家，但據(jù)eWeek.com網(wǎng)的報(bào)告與安全公司所說，在相關(guān)的bug信息以可觀的4000美元賣出后不久，針對(duì)Windows圖元文件的攻擊就立即猖獗起來。

　　要找到能賣得出去的漏洞，研究人員與黑客會(huì)使用一種叫做fuzzer的工具軟件來找出軟件在何處接受信息輸入，然后它會(huì)系統(tǒng)地輸入一些奇怪信息的組合。通常這種測(cè)試找出來的漏洞叫做緩沖區(qū)溢出。

　　包括微軟在內(nèi)的軟件公司通常使用工具軟件來尋找自家軟件里的漏洞。而黑客們也會(huì)這么做。BlackHat組織者M(jìn)oss和許多其它專家們認(rèn)為東歐那些有組織的網(wǎng)絡(luò)罪犯，訓(xùn)練有素的中國(guó)黑客，還有其它不懷好意的人都會(huì)使用fuzzer來尋找有價(jià)值的可以用來發(fā)起零時(shí)差攻擊的漏洞。發(fā)現(xiàn)漏洞的人能夠用它來發(fā)起攻擊，或者，與上面提到的WMF文件漏洞一樣，可以把漏洞信息拿到黑市去索價(jià)出售。

　　如果軟件開發(fā)商能在攻擊發(fā)生前及時(shí)修補(bǔ)好安全漏洞，那么公司的IT人員以及家庭用戶都能及時(shí)升級(jí)電腦，在黑客發(fā)起攻擊之前就做好保護(hù)。但一旦零時(shí)差攻擊開始了，時(shí)鐘就開始計(jì)時(shí)??有時(shí)候時(shí)鐘要走上好一陣，急需的補(bǔ)丁才會(huì)發(fā)布。

　　根據(jù)賽門鐵克的2006年互聯(lián)網(wǎng)安全威脅報(bào)告，在2006年的前半年里，微軟的Windows與紅帽Linux都是開發(fā)補(bǔ)丁最快的收費(fèi)操作系統(tǒng)，平均只需要13天。

　　但是在升級(jí)瀏覽器方面??尤其是當(dāng)有零時(shí)差攻擊已經(jīng)發(fā)生的情況下??微軟比蘋果、Mozilla和Opera的反應(yīng)速度都要慢。IE瀏覽器的補(bǔ)丁在漏洞公布的10天后才會(huì)發(fā)布，而Opera，Mozilla和Safari瀏覽器打上補(bǔ)丁的時(shí)間，分別只需要兩天、三天和五天。

　　Adam Shostack，微軟安全開發(fā)生命周期小組的一位程序經(jīng)理，說有時(shí)候更短的開發(fā)時(shí)限只會(huì)是設(shè)想，他提到微軟用戶構(gòu)成的復(fù)雜性。

　　“我們必須測(cè)試安全升級(jí)程序以確保它能兼容于28種不同語言的操作系統(tǒng)，以及每一種支持這個(gè)升級(jí)程序的操作系統(tǒng)�！盨hostack說�！拔覀冋娴氖窃谫|(zhì)量與速度中做出取舍與平衡�！�

　　安全軟件有助于在有效的補(bǔ)丁發(fā)布前保護(hù)系統(tǒng)不受未知威脅的攻擊，傳統(tǒng)的反病毒軟件依賴于病毒定義文件才能對(duì)攻擊起到保護(hù)作用。這讓惡意軟件的作者永遠(yuǎn)與安全公司在玩一個(gè)貓和老鼠的游戲，黑客們散布修改過的，沒有包括在病毒定義文件里的木馬程序，反病毒軟件則對(duì)這些木馬程序束手無策。

　　啟發(fā)式與基于行為的病毒分析或許能夠結(jié)束這一場(chǎng)貓鼠游戲。這兩種病毒分析方式依靠運(yùn)算法則，而不是病毒定義文件，去查找反常的行為或者文件。啟發(fā)式查毒檢查潛在的惡意軟件是靠分析文件是否有值得懷疑的行為，比如與內(nèi)存有關(guān)的可疑行為。而另一方面，基于行為的病毒分析，觀察程序是否有典型的惡意軟件的行為(比如啟動(dòng)Email傳播垃圾郵件)，它鑒定程序是否有害是看它們做什么而不是包含什么。

　　現(xiàn)在大多數(shù)主流的反病毒軟件都擁有一種或者同時(shí)擁有這兩種分析方式。去年，PC World測(cè)試過使用一個(gè)月未更新的病毒庫成功識(shí)別出20%到50%的病毒。

　　不過啟發(fā)式與基于行為的病毒分析容易引起誤報(bào)。安全軟件或許無法分辨出鍵盤記錄程序與通過直接敲擊鍵盤來減短響應(yīng)時(shí)間的游戲之間的區(qū)別。結(jié)果就是，軟件不停地跳出許多不必要的彈出式警告與操作詢問，讓用戶煩惱不已。

　　BlackHat的Jeff Moss估計(jì)這兩種病毒檢測(cè)方式在五年內(nèi)不會(huì)被單獨(dú)應(yīng)用，通過病毒定義文件來查毒目前依然是最可靠的�！八鼈兊恼`報(bào)與漏報(bào)率太高了。每個(gè)人對(duì)于檢測(cè)失誤都有自己奇怪的解決方法，但只要他們?cè)囍�進(jìn)行部署，用戶就會(huì)開始抱怨�！�

　　其它解決方法

　　其它種類的安全產(chǎn)品試著藉由改變用戶的電腦環(huán)境來抵抗新的未知威脅，并限制著攻擊者成功入侵后帶來的傷害。有些(比如GreenBorder Pro)為常常成為攻擊目標(biāo)的軟件，比如網(wǎng)絡(luò)瀏覽器與電郵客戶端，創(chuàng)建出一個(gè)“沙盒”，或者稱虛擬的被隔絕的環(huán)境。舉個(gè)例子來說，攻擊者也許可以攻破IE瀏覽器，但安裝間諜軟件或者進(jìn)行其它惡意篡改的舉動(dòng)都無法沖破沙盒的阻攔。

　　其它一些程序，除了創(chuàng)建虛擬環(huán)境以外，還修改用戶帳號(hào)的權(quán)限，這樣程序就無法對(duì)系統(tǒng)做出深層的改變。這類工具包括微軟提供的免費(fèi)的DropMyRights小程序。

　　還有些程序，如免費(fèi)的VMWare 播放器，會(huì)安裝一個(gè)單獨(dú)的操作系統(tǒng)并擁有它自己的瀏覽器。被層層保護(hù)著的瀏覽器與你正常的電腦環(huán)境是完全隔離開的。

　　Windows Vista引入了一些新的安全特性，但沒有人會(huì)認(rèn)為軟件漏洞或者零時(shí)差攻擊會(huì)漸漸地銷聲匿跡。.遺憾的是，充斥著非法數(shù)據(jù)與垃圾郵件發(fā)送者名單的地下黑市將刺激網(wǎng)絡(luò)罪犯?jìng)兝^續(xù)想方設(shè)法從惡意軟件里獲得利益。

　　然而，趨勢(shì)科技全球教育主管David Perry對(duì)于未來的互聯(lián)網(wǎng)安全狀態(tài)還是維持樂觀的態(tài)度�！拔蚁嘈抛罱K我們會(huì)讓網(wǎng)絡(luò)上的威脅只是件麻煩事而已，”，他說，“但在今年內(nèi)還看不到事情的進(jìn)展。”

　　零時(shí)差攻擊正在進(jìn)行時(shí)

　　去年九月SunbeltSoftware發(fā)現(xiàn)了利用矢量標(biāo)記語言圖像里的一個(gè)漏洞發(fā)起的攻擊，這種圖像格式已經(jīng)比較少見，但Windows系統(tǒng)依然對(duì)其提供著支持。在一星期內(nèi)，攻擊者通過植入了病毒的圖片感染了數(shù)千個(gè)網(wǎng)站，所有不幸查看了這些圖片的用戶都會(huì)被偷偷地裝上惡意軟件并受到攻擊。

　　2006年9月18日，第一個(gè)VML攻擊被俄羅斯的一家網(wǎng)站報(bào)道。

　　2006年9月19日，微軟表示補(bǔ)丁將在10月10日推出。

　　2006年9月20日，賽門鐵克公司宣布在東歐銷售的一款開發(fā)工具包中發(fā)現(xiàn)了惡意代碼。

　　2006年9月22日，零時(shí)差緊急響應(yīng)小組發(fā)布了一個(gè)非官方的補(bǔ)丁。成千上萬的合法的、但是被感染的HostGator托管網(wǎng)站讓他們的網(wǎng)友感染了病毒。

　　2006年9月26日，微軟提前時(shí)間表兩周的時(shí)間發(fā)布了補(bǔ)丁。

　　2007年1月16日，iDefense公司證實(shí)一個(gè)相似的零時(shí)差攻擊已經(jīng)盯上了VML的另一個(gè)漏洞。

　　來自Doc文檔的攻擊

　　2006年5月21日，中國(guó)大陸及中國(guó)臺(tái)灣省都發(fā)生了有明確目標(biāo)的攻擊事件，被黑客利用的是一個(gè)Microsoft Word bug(2006年公布的能發(fā)起零時(shí)差攻擊的Office漏洞之一)，黑客們攻擊了一家名稱不詳?shù)墓�司。根�?jù)互聯(lián)網(wǎng)風(fēng)暴中心的消息，攻擊者發(fā)送了偽裝成發(fā)送自公司內(nèi)部的郵件，毫無戒備之心的雇員打開了感染了病毒的附件。

　　Vista如何防范零時(shí)差攻擊

　　Windows?Vista那些大受吹捧的新安全特性在保護(hù)你免受零時(shí)差攻擊方面做得怎么樣呢?比你想象的要好得多。

　　Vista主要的新特性就是用戶帳戶控制(UAC)，在Vista里改變了用戶帳戶的操作許可權(quán)限。為了方便起見??因?yàn)楣芾韱T權(quán)限在進(jìn)行許多系統(tǒng)操作時(shí)都是必需的??幾乎所有的家庭用戶都在管理員帳戶設(shè)置下運(yùn)行Windows XP。但攻擊者也會(huì)利用此設(shè)置的特權(quán)來修改系統(tǒng)，例如安裝含有惡意軟件的rootkit。

　　與從前不同的是，默認(rèn)的Vista用戶帳戶擁有的權(quán)限不高也不低，既不是可以對(duì)系統(tǒng)做任何修改的管理員帳戶，也不是運(yùn)行起來處處受縛的guest帳戶。微軟嘗試著讓改變易于被人們接受，授予了標(biāo)準(zhǔn)帳戶足夠的權(quán)限來操作一些日常的系統(tǒng)任務(wù)，比如安裝打印機(jī)的驅(qū)動(dòng)程序。但已經(jīng)有用戶抱怨道需要不停地確認(rèn)一個(gè)又一個(gè)索要管理員密碼的UAC彈出提示框。

　　同樣，IE瀏覽器默認(rèn)也是以受保護(hù)模式運(yùn)行，此時(shí)只擁有最少的許可權(quán)限。這樣的改變限制了一些零時(shí)差攻擊劫持你的IE瀏覽器(比如利用WMF或者VML漏洞)，并對(duì)電腦造成太大的破壞。

　　最后一點(diǎn)，Vista與Windows Defender是捆綁發(fā)行的，后者可以阻止試圖向啟動(dòng)文件夾添加自啟動(dòng)項(xiàng)的惡意軟件??比如，把自己偽裝成反間諜軟件等。Vista同時(shí)還會(huì)隨機(jī)改變內(nèi)存庫與程序載入的位置，這樣惡意軟件在試圖找出并更改系統(tǒng)重要進(jìn)程時(shí)就會(huì)撲了個(gè)空。

　　遭到入侵的Myspace

　　2005年9月28日，與后來出現(xiàn)的VML攻擊類似的，微軟幾乎很少被使用到的Windows圖元文件格式里發(fā)現(xiàn)了一個(gè)漏洞，當(dāng)用戶瀏覽含有中毒圖像的網(wǎng)頁時(shí)，就會(huì)被植入惡意程序。微軟在1月5日發(fā)布了一個(gè)補(bǔ)丁，但7月份一個(gè)含有惡意代碼的旗幟廣告感染了數(shù)百萬尚未打上補(bǔ)丁的電腦，這些電腦訪問了MySpace，Webshots和其一些它網(wǎng)站。

　　零時(shí)差攻擊是發(fā)現(xiàn)軟件漏洞后，在軟件生產(chǎn)商尚沒有發(fā)布修復(fù)補(bǔ)丁之前，利用漏洞發(fā)起的攻擊。不過即使是在這段時(shí)間里，你也有辦法保護(hù)你的系統(tǒng)安全而不會(huì)受到零時(shí)差攻擊。

　　1. 停止使用IE 6。為了確保網(wǎng)上的安全，你首先應(yīng)該停止使用微軟聲名狼籍、滿是漏洞的IE 6瀏覽器。當(dāng)然了，沒有絕對(duì)安全的程序，但不管是因?yàn)樗�那些固有的漏洞還是因?yàn)榫薮蟮挠脩羧海琁E 6都是一個(gè)易受攻擊的目標(biāo)。升級(jí)到IE 7或者選用其它瀏覽器比如Firefox或者Opera。

　　2. 對(duì)于某些已經(jīng)成為零時(shí)差攻擊目標(biāo)的軟件，你可以試試使用它們的替代軟件。例如，用來查看PDF文檔的免費(fèi)Foxit程序，而OpenOffice能兼容許多Office文檔。

　　3. 為Windows和其它程序啟用自動(dòng)更新功能。補(bǔ)丁并不能阻止零時(shí)差攻擊的入侵，但大多數(shù)的漏洞在補(bǔ)丁發(fā)布后依然會(huì)是攻擊目標(biāo)，正因?yàn)楣�擊者知道許多人不會(huì)費(fèi)心去打補(bǔ)丁。要檢查和更改你的Windows系統(tǒng)的自動(dòng)更新設(shè)置，在控制面板里點(diǎn)自動(dòng)更新。我們推薦你選擇“下載更新，但由我來決定什么時(shí)候安裝”。

　　啟動(dòng)其它程序的自動(dòng)更新設(shè)置則難易各有不同。以Firefox為例來說，選擇工具 ? 選項(xiàng) ? 高級(jí)，然后選擇“升級(jí)”標(biāo)簽。(重申一次，我們推薦選擇在Firefox發(fā)現(xiàn)更新后“詢問我該做什么”)。要找到Adobe Reader里的升級(jí)設(shè)置，你可以從幫助菜單欄里進(jìn)行手動(dòng)更新，或者依次選擇編輯 ? 首選項(xiàng)，然后選中“啟動(dòng)”標(biāo)簽，在“顯示消息和自動(dòng)更新”前打上勾。

　　4. 考慮選擇帶有啟發(fā)式查毒和/或基于行為分析病毒的反病毒軟件或者安全套件來保護(hù)你的電腦，讓它能自如地應(yīng)對(duì)未知危險(xiǎn)。擁有這兩種病毒分析方式的程序是對(duì)傳統(tǒng)反病毒軟件的一個(gè)補(bǔ)充，傳統(tǒng)的反病毒軟件在能抵御某種威脅前必須對(duì)它比較清楚。

　　5.確保有一個(gè)防火墻??無論是Windows XP自帶的，還是第三方的??運(yùn)行在你的電腦上。防火墻能阻止蠕蟲掃描你的電腦，尋找未打好補(bǔ)丁的漏洞，并試圖入侵你的系統(tǒng)。要查看系統(tǒng)是否運(yùn)行著Windows XP防火墻，進(jìn)入控制面板，打開安全中心，點(diǎn)Windows 防火墻鏈接。大多數(shù)的寬帶路由路也帶有防火墻功能。

　　6. 使用防護(hù)軟件做為反病毒軟件或安全套件的有效補(bǔ)充，比如DropMyRights。越來越多的工具軟件，既有免費(fèi)的也有收費(fèi)的，籍由改變易受攻擊軟件的運(yùn)行方式來保護(hù)電腦的安全，這樣即使受到了零時(shí)差攻擊，也不會(huì)傷害甚至是傳播到電腦的其它位置。

　　7. 時(shí)刻關(guān)注最新情況。為您傳遞最新的緊急威脅，還有各種安全知識(shí)與建議。其它有用的資源包括eEye 零時(shí)差攻擊追蹤網(wǎng)站(find.pcworld.com/56226)和Brian Krebs的安全修補(bǔ)博客。