惊爆：软件更新存在安全漏洞

两名来自以色列安全公司Radware的专家日前发现，软件更新过程中有可能被劫持通讯，受此漏洞影响的软件包括Skype和其他若干应用程序。

Radware安全运营中心主管Itzik Kotler警告说，目前他们已经发现100多款主流软件存在上述安全问题。

为了检验这一发现，Kotler和他的同事Tomer Bitton正在开发一个名叫Ippon的工具，这个工具可以完成上述攻击并且能够提供网络中受潜在影响机器的3D分布图。在柔道中，Ippon意味着失败，同样的，Ippon会使你的电脑game over。

按照他们的理论，攻击者首先扫描无线网络，寻找通过HTTP检查更新的电脑，当系统检测到某台电脑发送了一个软件更新请求时，这个工具就会抢在应用程序更新服务器响应之前回复该电脑，Ippon会回复有可用更新——即使这台电脑上已经安装了所有更新，然后恶意程序就会被用户下载到本地电脑。

到目前为止，他们还没有发现Firefox和其他主流浏览器是否存在这个缺陷。他们还发现，目前微软的软件是安全的，因为它在更新过程中使用数字签名。Kotler认为，所有的软件更新都应该使用数字签名，人们应该避免通过无线公共网络进行软件更新。