2014年最危險的五大軟體漏洞
安全業界的研究員們每天都在尋找新的軟體漏洞,但是已經很久沒有象2014年這樣出現數量如此之多或影響範圍如此之廣的漏洞了。回顧即將結束的2014年,一個又一個重量級漏洞接踵而至,受到影響的裝置竟以百萬計,系統管理員和使用者簡直要抓狂了。
今年被發現的幾個重大安全漏洞震驚了整個網際網路,令安全社群顏面盡失,因為這些漏洞並不是在新軟體中被發現的,而是從已經推出了幾年甚至幾十年的老軟體中被挖出來的。有幾個漏洞可以說是普通使用者的悲劇,因為這麼多人使用了這麼久的時間,人們一直以為它們是沒有漏洞的。
SR Labs的柏林安全研究員卡爾斯滕諾爾(Karsten Nohl)稱:“人們總是認為,擁有大量安全預算的大公司們都普遍使用的軟體肯定已經被檢查了很多次了,大家都想偷懶,希望其他人去做檢測工作,結果誰都沒有認真做完所有的安全檢查工作。”
他說,今年在最常用的工具中發現的那些重要漏洞說明了一個問題,即駭客們已經開始在老軟體中尋找長期被人們忽略掉的漏洞。在很多情況下,這將造成驚人的後果。現在就跟我們來一起歷數2014年在研究社群和全球網路上橫行無忌的安全漏洞。
心臟流血
當加密軟體失效的時候,最糟糕的結果是某些資訊可能會外洩。但是當心髒流血漏洞被駭客利用時,後果要嚴重得多。
心臟流血漏洞在今年4月被首次曝光時,駭客可以透過它向全球三分之二的網路伺服器發動攻擊。那些伺服器使用了開源軟體OpenSSL,心臟流血漏洞就存在於該軟體中。利用這個漏洞,駭客不僅可以破解加密的資訊,而且可以從記憶體中提取隨機資料。換句話說,駭客可以利用這個漏洞直接竊取目標使用者的密碼、私人金鑰和其他敏感使用者資料。
谷歌(微博)工程師尼爾梅赫塔(Neal Mehta)和發現這個漏洞的安全公司Codenomicon一起開發出了對應的補丁,但是即便在系統管理員安裝好這個補丁之後,使用者仍然不能肯定他們的密碼是否失竊了。因此,心臟流血漏洞促成了歷史上最大規模的修改密碼行動。
即使到今天,很多裝置上的OpenSSL存在的漏洞仍然沒有被補上。掃描工具軟體Shodan的發明者約翰麥瑟利(John Matherly)透過分析發現,現在仍有30萬臺伺服器沒有安裝心臟流血的補丁,其中有很多裝置可能是所謂的“嵌入式裝置”,比如網路攝像頭、印表機、儲存伺服器、路由器、防火牆等。
Shellshock
OpenSSL軟體中的漏洞存在了兩年多的時間,但是Unix的“進入子程式”功能中的一個漏洞卻是存在時間最長的漏洞,它至少存在了25年的時間才被發現。任何安裝了這個殼工具的Linux或Mac伺服器都有被攻擊的危險。
結果是,美國計算機緊急響應小組在9月公佈這個漏洞後,不到幾個小時就有上萬臺機器遭到惡意軟體的DoS攻擊。然而災難並沒有結束,美國計算機緊急響應小組最開始釋出的補丁很快被發現自身也有一個漏洞。第一個掃描網際網路來尋找存在漏洞的Shellshock裝置的安全研究員羅伯特大衛格拉漢姆(Robert David Graham)稱,這個漏洞比心臟流血漏洞還要糟糕。
POODLE
心臟流血漏洞襲擊了全球的加密伺服器之後僅過了6個月,谷歌的研究員們又發現了一個加密漏洞。這次漏洞位於安全軟體保護的另一端:與那些伺服器連線的PC和手機。
存在於3.0版SSL中的這個名為POODLE的漏洞允許攻擊者劫持使用者的會話,竊取在使用者電腦與加密線上服務之間傳輸的所有資料。與心臟流血漏洞不同的是,駭客可以利用POODLE漏洞發起攻擊時必須與目標在同一個網路上,這個漏洞威脅的主要是開放WiFi網路的使用者,比如星巴克的顧客。
Gotofail
心臟流血漏洞和Shellshock漏洞給安全社群造成了巨大的震動,以至於人們可能會忘了2014年最先被發現的重要漏洞Gotofail。Gotofail漏洞影響的只是蘋果使用者。
今年2月,蘋果宣佈使用者的加密網路資料可能會被同一本地網路上的其他人截獲,這主要是因為管理OSX和iOS如何執行SSL和TLS加密的軟體程式碼中的“轉至”命令出錯引起的。
不幸地是,蘋果只發布了一個針對iOS的補丁而沒有釋出適用於OSX的補丁。也就是說,蘋果在公佈這個漏洞的訊息時完全讓其桌上型電腦電腦使用者陷入了隨時被攻擊的境地。它的這個失誤甚至激起了公司自己以前的一名安全工程師專門發了一篇部落格文章來痛斥它。
克里斯汀帕吉特(Christin Paget)寫道:“你們在向你們其中一個平臺釋出SSL補丁時難道沒有想到其他的平臺?我在使用我的Mac電腦時,我隨時都會受到攻擊,而且我現在還只有眼睜睜地看著,什麼也幹不了。可愛的蘋果,你他媽的在幹什麼??!?!!”
BadUSB
2014年被發現的最陰險的攻擊並沒有藉助於任何軟體中的任何安全漏洞,因此它也是無法透過補丁來修復的。這種攻擊方式是谷歌研究員卡爾斯滕諾爾(Karsten Nohl)8月份在黑帽子安全大會上最早演示的,它依仗的是USB裝置中固有的一種不安全因素。
因為USB裝置的韌體是可以被複寫的,駭客可以編寫出惡意軟體悄悄地侵入USB控制器晶片,而不是安全軟體通常在查毒時掃描的快閃記憶體。例如,一塊隨身碟可能會包含一個無法被安全軟體查出的惡意件,它會破壞隨身碟上的檔案或者模擬鍵盤動作,悄悄地將各種命令注入使用者的機器之中。
大約只有一半的USB晶片是可被複寫的,因此就有一半的USB裝置會受到BadUSB的攻擊。但是由於USB裝置廠商並沒有公佈它們使用的是哪家廠商的晶片並且經常更換供應商,因此使用者不可能知道哪些裝置會受到BadUSB的攻擊。
據諾爾說,針對這種攻擊方式的唯一保護方法是將USB裝置當作“一次性注射器”一樣使用,永遠不要與他人共用或將它們插入不被信任的機器。
諾爾認為這種攻擊方式會造成很嚴重的後果,因此他拒絕公開相應的驗證概念程式碼。但是一個月之後,另一群研究員公佈了他們自己透過反向推導得出的攻擊程式碼,迫使晶片廠商解決這個問題。很難說是否有人利用那段程式碼發動過攻擊,這意味著全球各地的人們使用的無數USB裝置已經不再安全了。
相關文章
- 軟體開發中最危險的詞語
- CWE公佈最新25個危險軟體漏洞列表 記憶體損壞漏洞居首位記憶體
- 這4大勒索軟體漏洞易使企業處於危險之中
- 危險了,世界賴以執行的軟體
- Linux的10個最危險命令Linux
- 最危險的程式設計錯誤程式設計
- Linux的10個最危險的命令Linux
- 已經14歲的SQL隱碼攻擊仍然是最危險的漏洞SQL
- 七類最危險的網路管理員
- IIHS:美國最危險車型TOP 10
- Mac OS X 驚現最危險木馬Mac
- 在Linux執行的10個最危險的命令Linux
- Macfee:.COM已成全球最危險頂級域名Mac
- 兒童安全定位手錶有漏洞:孩子或更危險?
- 使用已破解或危險的加密演算法導致的漏洞加密演算法
- 【ERP軟體】ERP體系二次開發有哪些危險?
- Linux惡意軟體飛速增長 危險性增加(轉)Linux
- 安全管理軟體Public PC Desktop讓你的電腦遠離危險
- MicrosoftVM發現有安全漏洞危險程度較高(轉)ROS
- php 的 危 險 參 數PHP
- Linux系統中10個最危險的命令詳解Linux
- 專案管理 : 當心最危險的十類IT經理(轉)專案管理
- 軟體、軟體危機、軟體工程 (轉)軟體工程
- 永遠不要在 Linux 執行的 10 個最危險的命令Linux
- 永遠不要在Linux執行的10個最危險的命令Linux
- 危險的 target=”_blank” 與 “opener”
- 危險的 target="_blank" 與 “opener”
- 棕櫚油挺危險的
- Linux 下 10 個最“危險”的命令,運維必知必防!Linux運維
- SANS研究所:7大最危險的攻擊技術介紹
- 資料洩露:政府、金融、零售網站最危險網站
- McAfee:2012年度網路搜尋“最危險名人”
- 最賺錢的五大軟體高薪職業:不容錯過高薪
- php常見的危險函式PHP函式
- Alex Maccaw:簡歷危險Mac
- 記憶體安全週報第99期 | MITRE公佈了2022年前25個最危險軟體缺陷列表(CWE™ Top 25)記憶體MIT
- 二月十大病毒排行加花加密最危險加密
- 2014 年最熱門的國人開發開源軟體 TOP 100