全球首家发现"画皮"漏洞 金山毒霸获微软致谢

中新网12月11日电 沿用了十多年的安全认证体系，正面临前所未有的挑战。

金山毒霸安全中心，三个月前全球率先发现了一个系统高危漏洞“画皮”，并第一时间提交给微软。该漏洞影响所有Windows系统，病毒木马等恶意程序利用该漏洞可轻松绕过99%的杀毒软件。历时三个月时间，微软终于发布了针对性的安全补丁，并对金山毒霸公开致谢。历时之长，实为罕见。

微软在“补丁星期二”(美国时间)照例更新了12月份的安全补丁，此次，共修复了11个系统漏洞，其中公告号为“MS13-098”的补丁尤其严重，影响到全球所有Windows版本，包括Windows XP/Server 2003/Vista/Server 2008/Windows 7/Server 2008/Windows 8//Windows 8.1/Server 2012，甚至Windows RT/Windows RT 8.1等。

该“画皮”漏洞之所以被定义为高危级别，是因为它突破了数字签名这一基础安全认定技术。传统认识上，杀毒软件对程序进行安全分析的一个非常重要的依据就是数字签名。它相当于软件程序在电脑系统中的身份证号码，每个合法程序都拥有唯一的签名信息，如果此文件被恶意篡改，签名信息就会失效。

拥有正常身份证信息的公民都是良民，基于这样的判定体系，杀毒软件将一些拥有数字签名的安全度较高的文件信息添加到白名单，比如QQ、迅雷等正规的、大型的软件公司的相关文件，杀毒软件扫描这些文件的时候就不会耗费太多的时间，分析速度就提高了。

但是，金山毒霸发现的此“画皮”漏洞颠覆了业界对程序安全验证的传统认识。利用此漏洞，病毒木马等恶意程序可以植入或者篡改合法程序而不改变其数字签名，从而绕过几乎所有杀毒软件的查杀。这就相当于“画皮”，她看起来是一个正常的人类，你让她进入自己的家门，但其实她内在是一只恶鬼！拿最常见的文件做例子更容易理解：

正常程序文件（上）被篡改为后（下），两个文件哈希值不同，签名完全正常

“画皮”漏洞会带来许多不确定的安全风险。由于能躲过杀毒软件的查杀，各种病毒均有可能溜进网民的系统，窃取网民隐私，盗取敏感商业文档，甚至记录网银账户和密码，直接将银行资产划走……给网民带来无法弥补的重大损失。

金山毒霸安全中心9月份发现了“画皮”漏洞后，立即向微软安全中心通报了“画皮”漏洞的全部细节，并对自己的防御查杀体系做了修正。由于影响面甚广，微软修复此漏洞花了大约3个月的时间。微软安全团队在漏洞公告中对金山毒霸安全中心的这一发现表达了谢意。

微软和金山毒霸安全中心建议网民尽快更新该漏洞补丁，防患于未然，避免不必要的损失。不愿更新系统补丁的网民可以安装金山毒霸，目前市场上只有金山毒霸对此漏洞可能引发的病毒威胁进行了专业防范。

金山毒霸拥有超过1.5亿用户，每天均能捕获海量的病毒样本，正是基于对此大规模的样本进行的专业分析，才能够在全球最早发现“画皮”漏洞。

附微软感谢金山毒霸安全中心页面链接及截图：

http://technet.microsoft.com/en-us/security/bulletin/ms13-098#section24

附与数字签名有关的安全漏洞被攻击者利用会引发严重后果：

2013年7月，有国外安全厂商曾发现99%的安卓系统存在一个类似Windows“画皮”漏洞的数字签名漏洞，攻击者可随意篡改安卓应用程序(.apk)而使文件的数字签名不变，漏洞细节公布不到两周，多家安全厂商就在多个国内安卓软件市场发现数以万计的安卓病毒利用数字签名漏洞传播。这个高危漏洞的严重危害引起全行业的普遍关注，相关新闻被大量媒体转载。

在2013年度最后一个月度安全更新中，IE漏洞再次被提及。相关漏洞可导致网页挂马攻击：根据漏洞定制特别的网页，通过电子邮件、社交网络发布攻击网址，存在漏洞的电脑点击攻击链接，就会偷偷安装木马。攻击者利用图形组件中的安全漏洞(公告号：MS13-096)可以构造特别的TIFF图片文件，在Office文档中嵌入这种图片文件，打开文档就会中毒。