一周安全要聞:產品&軟件漏洞頻現 上半年IE漏洞最多
責編:admin |2014-08-04 15:45:13本周安全要聞,我們主要總結一下近日曝出的一些產品&軟件的漏洞。首先問大家一個問題,你認為今年漏洞最多的軟件是哪個?Flash?Java?IE?Chrome ?
根據Bromium 公布的 2014 年上半年漏洞報告,IE不僅是上半年漏洞最多的軟件,而且還是唯一一個半年漏洞就超過去年一年漏洞總量的軟件。IE上半年的漏洞量遙遙領先,若照這一趨勢下去,2014 年漏洞之王非IE莫屬了。
在總結新漏洞之前,我們不得不提一下一個舊漏洞,那就是心臟流血漏洞。Venafi實驗室針對全球各大頂尖企業的公共Web服務器作出評估,并指出目前只有3%的設備已經徹底擺脫OpenSSL漏洞、也就是Heartbleed的威脅。Venafi安全策略和威脅情報事務副總裁Bochek對企業發出警告,通過打補丁不能避免Heartbleed漏洞威脅,企業需更換私有密鑰和證書,撤銷舊的安全憑證。
據v3.co.uk網站7月24日報道,此前有安全研究員發現IBM、戴爾等品牌部分產品存在漏洞,該漏洞理論上可能會被黑客利用以獲取對受害用戶設備系統的控制權限。IBM已經針對該漏洞發布了相關補丁,但是目前戴爾仍然拒絕公開承認其多款產品存在該漏洞。安全研究員Alegandro Alvarez Bravo稱,IBM的1754 GCM系列產品在單個設備中提供基于IP的KVM和串行控制臺管理技術。該系列產品v1.20.0.22575和之前的版本都存在該漏洞。不過該漏洞也存在于戴爾和其他廠商的KVM交換機中。該漏洞可能允許通過身份驗證的遠程入侵者在GCM系列產品的KVM交換機上遠程執行代碼。
7月30日下午,國內知名互聯網漏洞平臺烏云表示,招商銀行網銀存在定向XSS漏洞,通殺網頁、PC端及手機APP,該漏洞可定向竊取信息釣魚種馬。互聯網業內人士對此解釋稱,此漏洞即招行網銀某處存儲型XSS漏洞,黑客可以通過此漏洞,對招行客戶進行“釣魚”、偷密碼,并且可以看到賬號余額。不過,招行回應稱,客戶如果正常使用招行網銀,不會導致信息泄露和資金損失。
無獨有偶,在線支付平臺PayPal于近日也被曝出存在漏洞。白帽子Jan Kechel發現了PayPal存在謊稱支付額度的漏洞,并證明這可能會并被利用來進行詐騙。作者在頁面上給出了詳細的步驟和解釋,首先點擊“start step 1 ”會轉向一個1歐元的PayPal“快捷支付”頁面。當確認支付后,回重定向到付款頁面(DoExpressCheckoutPayment)。然后,作者在demo中把付款金額調整為了2歐元,點“start step 2”后便會支付2歐。當然若想完成交易是必須“確認支付”的(也就是setp 2),這無疑造成了支付缺陷給不法分子帶來了機會。同樣,作者使用了200美元同樣上試驗成功。
最后,小編為大家推薦一篇科普文,讓大家對緩沖區溢出攻擊有個比較深入的了解。
緩沖區溢出出現在用戶輸入的相關緩沖區內,在一般情況下,這是現在的計算機和網絡上的最大的安全隱患之一。這是因為在編程的層次上很容易出現這中問題,這對于不明白或是無法獲得源代碼的使用者來說是不可見的,很多的這中問題就會被利用。緩沖區溢出的攻擊原理是不應該是重寫隨機輸入和在進程中執行代碼的內存的重寫。