作者：陈登

美国东部时间11月6日(北京时间11月7日)，据海外最新消息，Sony美高梅音乐娱乐公司(Sony BMG Music Entertainment)放置在一些音乐CD上的隐藏版权保护程序所带来的恶果越来越严重了。

研究人士表示，Sony公司提供给用户用来删除版权保护程序的软件其实加大了该程序原本带来的安全漏洞。

Sony公司目前已经招回了这些有问题的音乐CD，但已经在自己电脑上播放了这些问题音乐CD及想尝试删除这个危险软件的音乐迷们仍然可能处在安全隐患当中。

普林斯顿大学计算机科学教授Ed Felten在与一名研究生J. Alex Halderman研讨这个删除程序时说：“从安全观点看来，如此设计实在太糟糕。它在数个方面带给用户安全威胁。”

Sony公司的这个所谓的“XCP”版权保护程序存在于至少20张CD上，其中包括多名艺人的CD，如Van Zant、The Bad Plus、Neil Diamond以及Celine Dion。

Sony美高梅音乐娱乐公司最新的音乐CD唱片上应用了一个叫First4DRM的软件，这个由英国First 4互联网有限公司开发的这个数字版权保护技术，使得当用户在电脑上聆听这些音乐CD唱片时，就会被悄悄安装该软件。

但因为它像病毒软件一样隐藏在电脑中，给其它病毒的潜入造成可乘之机，目前已经发现了一些病毒就是利用了Sony美高梅音乐娱乐公司安装在用户电脑里的First4DRM，试图隐藏自己在注册表中和系统进程列表中的痕迹，以对抗杀毒软件和用户的清除。

当这些问题音乐CD被放进电脑时，这张音乐CD将自动向用户电脑安装一种限制歌曲复制次数的程序，这让用户将CD歌曲转换成iPod数字随身听所需格式时非常不方便。但将音乐CD放进电脑又是将音乐传入iPod数字随身听所必须的过程。

这种反非正版软件只会影响基于Windows操作系统的个人电脑。为了防止用户强行删除，软件的开发者利用外套(cloaking)特性来隐藏安装的文件、进程以及注册表信息。安全研究人士将Sony公司的这种软件定义为“间谍软件”，并表示，该软件可能秘密传输具体该电脑正在播放哪些音乐的细节。而手动删除该软件可能将导致用户电脑CD光驱的瘫痪。

这个程序还给了病毒作者一条隐藏他们的恶意软件的好工具。反病毒公司表示，上周，如特络伊木马等病毒程序通过外套(cloaking)特性秘密潜入了许多电脑。特络伊木马通常被用来窃取个人信息、对其它电脑发动攻击以及发送垃圾邮件。

基于众多用户向Sony公司抱怨这种反非正版软件，英国牛津郡的First 4互联网有限公司推出了一款反安装XCP版权保护软件的程序。

但反安装XCP版权保护软件的行为又引来了新的问题。

要反安装XCP版权保护软件，用户就必须通过填写在线表格来申请。而一但用户提交后，这个窗口将自动下载并安装设计来处理安装了XCP版权保护软件的电脑。实际上，这就让电脑完全开放地自由从互联网上下载并安装代码。

根据普林斯顿大学的分析，First 4互联网有限公司推出的这款反安装XCP版权保护软件的程序不能让电脑确认这些代码是否仅来自于Sony公司或First 4互联网有限公司。

Felten和Halderman于本周二在一博客上发贴表示：“此漏洞所造成的后果是严重的。它可以让你浏览的任一网站随意在你的电脑上下载、安装并运行任意代码。任何网页都可以控制你的电脑，然后这个网页就可以在你的电脑上为所欲为了。这是我们所遇到的最严重的安全漏洞。”

Sony美高梅音乐娱乐公司发言人John McKay并没有回复询问此事评论的电话。根据业务经理Lynette Riley所说，First 4互联网有限公司也并没有就此事做任何评价。

Mark Russinovich是第一个发现隐藏在电脑中的Sony软件的安全研究人士，他建议在电脑中播放过问题音乐CD的用户等待安全公司推出单机发安装程序而不要去填写那种在线表格。

Russinovich于本周二在一封电子邮件中写到：“很明显Sony公司没有任何借口不马上推出相应的单机发安装程序。”

其它删除原始程序的软件也可能已经出现。Microsoft于本周二表示，将移除音乐出版商Sony美高梅音乐娱乐公司的音乐CD在个人电脑中安装的争议性版权保护软件，因为Microsoft视其为采用Windows操作系统个人电脑的安全威胁。

Microsoft反恶意程序技术小组负责人Jason Garms在Microsoft的Technet网站上表示∶“我们对该软件进行分析后决定，为保护我们的客户，我们将在目前拥有数以百万计使用者的Windows反间谍软件测试版，增加检测和移除XCP软件的签名。”

Sony美高梅音乐娱乐公司于本周二表示将回收数百万张音乐CD。任何人购买了任何一张这种音乐CD的话，都可以更换。Sony公司稍后会公布音乐CD更换计划的详细内容。Sony音乐透露，在过去的八个月里，他们生产了超过470万张使用了所谓的XCP版权保护技术的音乐CD，其中210万张已经出售。

Sony公司在声明中说：“我们体会到消费者对XCP内容保护软件的忧虑，基于这个原因，我们制定了一项消费者更换计划并将所有含该软件的未出售CD从货架上撤下来，我们为对消费者造成的不便表示万分抱歉。”这已经是Sony公司自上周起因为这种音乐CD的第二次公开道歉了。

对于已经出售的200多万张问题音乐CD，目前还不清楚有多少人把它用在使用基于Windows系统的个人电脑中播放。Sony公司称这种复制保护软件在普通CD/DVD播放机或者Apple公司的Mac电脑中不会被激活。安全研究人员Dan Kaminsky估计至少有50万电脑用户安装了Sony这种软件。