2014上半年十大安全漏洞分析与解读.pdfVIP

2014 上半年 十大安全漏洞分析与解读 2014 年 9 月 11 日 摘 要  本次报告评选出了2014 年上半年对国内用户影响最大的十个安全漏洞。它们分别是： OpenSSL 心脏出血漏洞、Struts2-021 补丁绕过漏洞、苹果Goto Fail 漏洞、IE 秘狐漏洞、 Windows 上的内核级漏洞、Chrome 任意内存读写漏洞、Safari 任意代码执行漏洞、 Linux/Andriod 本地提权漏洞、Adobe Flash Player 漏洞和WordPress DDoS 攻击漏洞。  智能汽车，智能电视等智能系统的存在诸多安全隐患，而特斯拉汽车被中国黑客破解后， 智能系统的安全性的问题更是得到了国内公众的广泛关注。另外，携程漏洞导致用户个 人信息可能被泄漏一事，也使电商系统、支付系统的安全性问题备受关注。 关键词：安全漏洞、安全事件、攻击技术 目 录 一、 OpenSSL 心脏出血漏洞1 二、 Struts2-021 补丁绕过漏洞2 三、 苹果 Goto Fail 漏洞3 四、 IE 秘狐漏洞4 五、 Windows 上的内核级漏洞5 六、 Chrome 任意内存读写漏洞6 七、 Safari 任意代码执行漏洞6 八、 Linux/Andriod 本地提权漏洞7 九、 Adobe Flash Player 漏洞 8 十、 WordPress DDoS 攻击漏洞9 附录 1 智能系统安全性展望10 一、 智能汽车10 二、 智能电视10 附录2 携程漏洞事件12 附件 3 特斯拉被中国黑客破解13 一、 OpenSSL 心脏出血漏洞 漏洞编号：CVE-2014-0160 一句话描述：近年来影响范围最广的高危漏洞，可被用于窃取服务器敏感信息，实时抓 取用户的账号密码。 爆发时间：2014 年4 月 影响版本：OpenSSL1.0.1、1.0.1a 、1.0.1b 、1.0.1c 、1.0.1d 、1.0.1e、1.0.1f、Beta 1 of OpenSSL 1.0.2 等版本。 漏洞介绍：Heartbleed 漏洞，可以直译为 “心脏出血”，是OpenSSL 的源代码中存在的 一个重大安全漏洞。攻击者可以构造异常的数据包对存在这一漏洞的网站发起攻击，每次读 取服务器内存中64K 数据，不断的迭代获取，就能取出了可能包含证书私钥、用户名、用 户密码、用户邮箱等敏感信息的数据。 影响危害：OpenSSL 是互联网应用最广泛的安全传输方法，被各大网银、在线支付、 电商网站、门户网站、电子邮件等重要网站所广泛使用。此漏洞被普遍认为是近年来危害最 严重的安全漏洞。该漏洞可以让黑客轻松在https 开头的网址服务器上，实时抓取用户的账 号密码。从该漏洞被公开到漏洞被修复的这段时间内，已经有黑客利用OpenSSL 漏洞发动 了大量攻击，有些网站用户信息或许已经被黑客非法获取。未来一段时间内，黑客可能会利 用获取到的这些用户信息，在互联网上再次进行其他形式的恶意攻击，针对用户的“次生危 害”（如网络诈骗等）会大量集中显现。 国外部分受影响的网站： 加拿大税务局（CRA ）因心脏出血安全漏洞，关闭了电子服务网站。 平台维护者，如维基媒体基金会，建议他们的用户更改密码。 国内部分受影响的网站： 淘宝主站运营维护不当导致可以登录随机用户并且获取服务器敏感信息 微信网页版和公众账号版运营维护不当可随机登录微信用户并获取服务器敏感信息 中国银联运营维护不当导致可能存在随机登录银联账户并获取服务器敏感信息 12306 新版订票系统运营维护不当导致可以登录随机用户并且获取服务器敏感信息 比特币中国运营维护不