黑客揭露赛门铁克网站的代码漏洞

    根据英国媒体The Register报导，一名来自罗马尼亚的黑客Unu于本周展示如何利用黑客工具及Blind SQL Injection漏洞入侵安全厂商赛门铁克（Symantec）的服务器，这也让赛铁克服务器上所储存的客户资料有泄露的风险。

　　Unu展示如何利用现成的Pangolin及sqlmap等黑客工具及资料隐码漏洞侵入赛门铁克网站，以及存取包含客户纪录、密码，及产品金钥等资料的服务器硬盘。

　　eWeek引用赛门铁克说法指出，在pcd.symantec.com网站上存有资料隐码漏洞，该站主要支援日本及南韩市场的Norton客户，该事件并不影响该公司其他市场的用户，也不会影响Norton产品的安全性与使用。目前赛门铁克仍在调查。

　　安全厂商Damballa研究副总裁Gunter Ollmann在博客中表示，Blind SQL Injection并不是一个特别复杂的漏洞，但它通常是密集式的攻击，所以很容易引起注意，不过现在有许多现成且强大的工具可用，这些工具及功能已成为僵尸网络的标准，意味着相关漏洞的攻击以及数据库的存取可在数分钟内完成，让安全工作人员来不及回应攻击行动而无法避免资料外泄。

　　Unu今年2月也曾揭露巴斯基网站的资料隐码漏洞，不过Unu表示他只是企图唤起安全厂商重视网站安全，他并未储存或滥用所存取的任何资料。