压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

上周，一個名叫Adios Hola（Adios西班牙語中意為“再見”，Hola意思相當(dāng)于英語中的Hello）的研究團隊發(fā)布一份安全報告，指出在Hola VPN中存在的漏洞，可導(dǎo)致信息泄露、任意代碼遠程執(zhí)行以及權(quán)限升級等問題。

Hola VPN

Hola是一款可訪問限制性內(nèi)容的開放VPN，如訪問那些受地理位置限制或被政府、企業(yè)及互聯(lián)網(wǎng)服務(wù)提供商屏蔽的內(nèi)容，并且服務(wù)免費。由于其可用于桌面、瀏覽器及安卓設(shè)備，一舉成為VPN服務(wù)中的贏家。而且Hola瀏覽器擴展可實時解鎖，Hola桌面app及安卓app可解鎖內(nèi)容并提高網(wǎng)速。

Hola VPN服務(wù)出現(xiàn)漏洞

Vectra Network安全公司在過去幾周的時間內(nèi)也發(fā)布了一份獨立評估報告，指出Hola VPN服務(wù)進程中存在可將端流量引向既定目的的控制臺（“zconsole”），可被用于針對性攻擊中。獲取控制臺訪問權(quán)限的威脅發(fā)動者可查看所有的運行進程并且終止他們的活動、在繞過殺毒檢查的情況下下載文件并予以執(zhí)行（或在后臺執(zhí)行或通過另外一個進程的令牌執(zhí)行）。

上周研究人員指出，Hola火速推出更新修復(fù)VPN軟件中的安全問題，但現(xiàn)在來看用戶依然被暴露在攻擊風(fēng)險中。

一些漏洞已被修復(fù)

周一，Hola的首席執(zhí)行官Vilenski宣布稱公司致力于保護用戶安全及業(yè)務(wù)的透明性，公布了修訂方案并且解釋了VPN網(wǎng)絡(luò)如何運作。

公司表示，遠程代碼執(zhí)行漏洞已被修復(fù)，并指出以攻擊者控制的自變量啟動內(nèi)置VLC播放器的問題已被修復(fù)。同時采取的緩解措施還包括只允許來自hola.org的命令執(zhí)行。這名代表還表示對自變量的限制將在本周末實施。

Vectra Networks的首席信息官認為，

“zconsole”的問題更加棘手，解決這個問題“如果不大幅重新設(shè)計Hola軟件”是不可能完成的。

Adios團隊的一名成員Slipstream稱，控制臺依然存在所檢查的軟件版本中，盡管已經(jīng)做出了修改并且這個組件現(xiàn)在更加難以訪問。他證實稱漏洞“部分已被修復(fù)”，這也就是說還有一些問題依然存在，他表示自己測試的是最新版本之前的版本。

風(fēng)險依然存在

然而，Slipstream指出Hola VPN的設(shè)計中存在問題，可帶來中間人攻擊的風(fēng)險。攻擊者可以Hola用戶的身份作為出口節(jié)點并在瀏覽會話中注入惡意iFrame，并以此指導(dǎo)滲透代碼工具包。

另外的一種風(fēng)險是一個惡意出口節(jié)點可以指導(dǎo)Hola用戶通過并對僅在世界某些地方流行的視頻流服務(wù)如Netflix實施釣魚攻擊。

Hola VPN在全球擁有4600萬用戶，雖然公司表示未曾受到相關(guān)惡意攻擊報告，但Vectra給出證據(jù)顯示VirusTotal中檢測出包含Hola協(xié)議的五份惡意軟件樣本。Hola目前正努力修復(fù)問題并重新恢復(fù)使用者信心，并且計劃著手改進軟件安全。Hola已經(jīng)推出一項漏洞現(xiàn)金獎勵計劃。此外，目前正在進行內(nèi)部及外部安全審查。