2014 年 5 大最致命的軟件漏洞
處理新發現的軟件漏洞,一直是網上日常生活的一部分,但很少有年份像2014年一樣發現如此多影響數百萬設備安全性的漏洞。
2014年出現的幾個撼動互聯網的漏洞,都不是在新軟件中發現的。相反,它們隱藏在幾年甚至幾十年前的代碼中,大家普遍認為這些代碼經過了嚴格的審查,但誰能想到呢。
普遍的觀點認為,如果某一個軟件被有鉅額安全預算的公司廣泛應用,那它肯定被檢查了數百萬次。每個人都在靠別人來做測試。這也激發了更多的黑客在長期使用的代碼中尋找漏洞,這樣的結果令人不寒而慄。
雷鋒網帶大家細數下2014年影響最大的漏洞。
Heartbleed
Heartbleed又名“心臟出血”,從名字上就能看出它有多危險。
今年4月,Heartbleed首次被曝光,它允許黑客攻擊任何採用OpenSSL的服務器,它不僅可以破解加密數據,還可從內存裏讀取隨機數據,影響了全網約三分之二的服務器。
它允許黑客直接竊取用户密碼,私人祕鑰以及其他一些敏感數據。即使修復了Heartbleed,用户也需要大規模修改密碼。
直到現在,很多服務器仍然沒有修復,據統計,仍有30萬網絡設備仍沒有安裝補丁,其中包括一些網絡攝像頭、打印機、存儲服務器、路由器和防火牆等。
Shellshock
OpenSSL的漏洞使得Heartbleed存在了2年多之久,但是存在於Unix“bash”功能中的漏洞,或許可以贏得最古老漏洞獎。它誕生至今已有25週年,沒有在公開場合被發現過。任何包括了shell工具的Linux或Mac服務器都可能受影響。
今年9在漏洞被發現的一段時間內,就有上千台電腦感染了惡意軟件,被用於僵屍網絡攻擊。。而且,初步補丁很快就被發現存在自身漏洞。第一個找到這一安全漏洞安全研究員Robert David Graham稱,它比Heartbleed還嚴重。
POODLE
在Heartbleed攻擊了世界各地的加密服務器6個月後,一組Google研究人員發現了另一個加密漏洞,可攻擊連接到服務器另一端的設備:電腦和電話。
這個存在於SSL 3.0中的漏洞允許黑客攻擊用户電話,攔截用户電腦和在線服務之間加密的所有數據,不同於Heartbleed,黑客若想要利用POODLE漏洞,就必須和被入侵者在同一個網絡。該漏洞主要是威脅開放WiFi網絡。
Gotofail
Heartbleed和Shellshock影響如此之深,以至於我們都忘了2014年的第一個重大漏洞,不過它僅能影響蘋果用户。
2月時蘋果透露,蘋果用户自己的加密網絡流量容易受到同在本地網絡內的其他人的攔截。該漏洞被稱為Gotofail,是由在OSX和iOS上,實現SSL和TLS數據加密的代碼的“goto”命令錯置造成的。
讓問題加劇的是,蘋果為iOS發佈了補丁,但沒管OS X!這就等於公佈了一個漏洞,但不做任何安全措施!也難怪不少用户都會罵娘了。
BadUSB
在2014年發現的最陰險的漏洞與軟件代碼中的漏洞沒關係,這讓它幾乎無法修補。它就是BadUSB,初次亮相於8月份的黑帽大會上,讓USB安全陷入信任危機。
由於內存芯片可被重寫,黑客可用惡意軟件感染USB控制器芯片,這讓它無法像平常一樣被掃描出來。例如,拇指驅動器可能包含無法察覺的惡意軟件,偷偷竊取用户指令。
只有大約一半的USB芯片是可重寫的,會受到BadUSB攻擊。但由於USB製造商經常心血來潮更換供應商,幾乎不可能知道哪些設備容易受到BadUSB攻擊。唯一的應對方法就是,把USB設備當“注射器”一樣使用,永遠不共享或者絕不插入到一個不可信的設備上。
在漏洞公佈後不久,一組研究人員公佈了逆向工程版本的攻擊代碼,想以此向芯片製造商施壓,解決問題。雖然很難説是否有人會利用這些代碼,但這意味着數以百萬計的USB設備將陷入相當不值得信任的狀態。
via wired
資料來源:雷鋒網
作者/編輯:墨痕