Windows曝0day SSL又出新漏洞
責編:admin |2014-10-20 15:35:37支付卡漏洞、Heartbleed漏洞以及前不久曝光的Shellshock漏洞,讓人們深深意識到信息安全形勢的嚴峻。然而一波未平一波又起,上周又曝出了俄羅斯黑客利用微軟Windows系統中的漏洞對歐美國家政府、北約,以及烏克蘭政府展開間諜活動。報告稱,俄羅斯黑客攻擊的目標還包括歐洲的能源和電信行業公司,以及美國一些未披露的學術機構。
據了解,該漏洞影響win vista,win7等以上操作系統,利用微軟文檔就可以觸發該漏洞,而且該漏洞為邏輯漏洞,很容易利用成功。當前樣本已經擴散且容易改造被黑客二次利用。
另外,上周谷歌曝出的新SSL安全漏洞也值得大家關注。據路透社報道,三名谷歌研究人員在廣泛使用的SSL網頁加密技術中發現了一處安全漏洞。研究人員稱,黑客可以利用這一漏洞發動Padding Oracle攻擊,竊取數據。這一問題出現在已有18年之久的SSL 3.0加密標準中,該標準被廣泛用于網頁瀏覽器和網站。
緊接著,Google發布了一份關于SSLv3漏洞的簡要分析報告。根據Google的說法,該漏洞貫穿于所有的SSLv3版本中,利用該漏洞,黑客可以通過中間人攻擊等類似的方式(只要劫持到的數據加密兩端均使用SSL3.0),便可以成功獲取到傳輸數據(例如cookies)。
目前,被檢測出來的網絡安全漏洞在逐年增長,而且安全漏洞的成本也在增加,但企業的安全預算卻并沒有太多增長。
據相關報告顯示,小企業安全漏洞的成本卻在下降,比例為37%;中型企業的安全漏洞成本呈小幅增長,比例為25%,而大型企業的安全漏洞成本增長最高,比例為53%。