微軟“緊急”修補18年前漏洞, NSA陰謀論再度熱議
責編:admin |2014-11-13 19:44:53微軟趕在本周二補丁日之前緊急發布了大量漏洞補丁,數量規模創下歷史新高,其中一個高危漏洞(CVE-2014-6332)存在于IE瀏覽器的安全隧道(Schannel)層,也就是SSL和TLS安全協議的部署層,這個漏洞可以讓攻擊者遠程完全控制主機并執行代碼。
發現該漏洞的IBM X-Force團隊主管Robert Freeman本周二在博客中指出,微軟IE瀏覽器的SSL高危漏洞至少從windows 95開始就存在于微軟的桌面操作系統中,“洞齡”迄今已經超過18年。
通過這種遠程代碼執行漏洞,黑客可以在目標主機中安裝惡意軟件,從事各種非法活動,例如鍵盤記錄、屏幕攝錄、信息竊取等。
值得注意的是,微軟本周爆出高危SSL/TLS漏洞之前,包括谷歌(SSL3.0“貴賓犬”漏洞,洞齡15年)蘋果(gotofail安全漏洞)、OpenSSL(心臟出血漏洞,洞齡12年)、LibreSSL(偽隨機數生成器缺陷)GnuTLS(應用于GNOME等處)以及Mozilla火狐瀏覽器的NSS漏洞今年先后爆出SSL/TLS安全協議漏洞,而且這些致命的漏洞無所不在,而且“洞齡”短則數年,長則十數年,潛伏之久令人發指。
斯諾登曾指責NSA操控SSL/TLS標準,蓄意弱化安全協議標準,但NSA如何對互聯網安全基礎協議和標準進行滲透和操控?是否在SSL/TLS、802.11i、IPSec等基礎安全協議和標準中留下“蓄意缺陷”,從而達到其大規模破解和監控的目的?這依然是業界不可言說的“陰謀論”。
其實早在心臟出血漏洞爆發時,Vox公司的Tim Lee就曾在博客中指出,OpenSSL的漏洞對NSA這樣的情報部門來說更有價值,NSA與運營商和互聯網服務商存在合作關系,可從互聯網骨干網大規模解密OpenSSL加密的數據。
如果說Tim的陰謀論還僅僅是一種假設,那么,隨著蘋果、谷歌、火狐以及微軟等用戶基數極為龐大的“棱鏡”公司的HTTPS基礎安全機制接連發現致命漏洞,任何一位神志清醒的專家都不會認為這是巧合。
正如開源大師,FreeBSD作者Poul-Henning Kamp在Twitter上怒不可遏的控訴:
一個SSL漏洞是錯誤,兩個是事故,三個是蓄意破壞。
蘋果、OpenSSL+微軟=一屋子的NSA