2014上半年十大安全漏洞与概要.docxVIP

2014上半年 十大安全漏洞分析与解读 2014年9月11日  摘 要 本次报告评选出了2014年上半年对国内用户影响最大的十个安全漏洞。它们分别是：OpenSSL心脏出血漏洞、Struts2-021补丁绕过漏洞、苹果Goto Fail 漏洞、IE秘狐漏洞、Windows上的内核级漏洞、Chrome任意内存读写漏洞、Safari任意代码执行漏洞、Linux/Andriod本地提权漏洞、Adobe Flash Player漏洞和WordPress DDoS攻击漏洞。 智能汽车，智能电视等智能系统的存在诸多安全隐患，而特斯拉汽车被中国黑客破解后，智能系统的安全性的问题更是得到了国内公众的广泛关注。另外，携程漏洞导致用户个人信息可能被泄漏一事，也使电商系统、支付系统的安全性问题备受关注。 关键词：安全漏洞、安全事件、攻击技术  目 录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc397550894 一、 OpenSSL心脏出血漏洞  PAGEREF _Toc397550894 \h 1  HYPERLINK \l _Toc397550895 二、 Struts2-021补丁绕过漏洞  PAGEREF _Toc397550895 \h 2  HYPERLINK \l _Toc397550896 三、 苹果Goto Fail 漏洞  PAGEREF _Toc397550896 \h 3  HYPERLINK \l _Toc397550897 四、 IE秘狐漏洞  PAGEREF _Toc397550897 \h 4  HYPERLINK \l _Toc397550898 五、 Windows上的内核级漏洞  PAGEREF _Toc397550898 \h 5  HYPERLINK \l _Toc397550899 六、 Chrome任意内存读写漏洞  PAGEREF _Toc397550899 \h 6  HYPERLINK \l _Toc397550900 七、 Safari任意代码执行漏洞  PAGEREF _Toc397550900 \h 6  HYPERLINK \l _Toc397550901 八、 Linux/Andriod本地提权漏洞  PAGEREF _Toc397550901 \h 7  HYPERLINK \l _Toc397550902 九、 Adobe Flash Player漏洞  PAGEREF _Toc397550902 \h 8  HYPERLINK \l _Toc397550903 十、 WordPress DDoS攻击漏洞  PAGEREF _Toc397550903 \h 9  HYPERLINK \l _Toc397550904 附录1 智能系统安全性展望  PAGEREF _Toc397550904 \h 10  HYPERLINK \l _Toc397550905 一、 智能汽车  PAGEREF _Toc397550905 \h 10  HYPERLINK \l _Toc397550906 二、 智能电视  PAGEREF _Toc397550906 \h 10  HYPERLINK \l _Toc397550907 附录2 携程漏洞事件  PAGEREF _Toc397550907 \h 12  HYPERLINK \l _Toc397550908 附件3 特斯拉被中国黑客破解  PAGEREF _Toc397550908 \h 13  PAGE \* MERGEFORMAT14 OpenSSL心脏出血漏洞 漏洞编号：CVE-2014-0160 一句话描述：近年来影响范围最广的高危漏洞，可被用于窃取服务器敏感信息，实时抓取用户的账号密码。 爆发时间：2014年4月 影响版本：OpenSSL1.0.1、1.0.1a 、1.0.1b 、1.0.1c 、1.0.1d 、1.0.1e、1.0.1f、Beta 1 of OpenSSL 1.0.2等版本。 漏洞介绍：Heartbleed漏洞，可以直译为“心脏出血”，是OpenSSL的源代码中存在的一个重大安全漏洞。攻击者可以构造异常的数据包对存在这一漏洞的网站发起攻击，每次读取服务器内存中64K数据，不断的迭代获取，就能取出了可能包含证书私钥、用户名、用户密码、用户邮箱等敏感信息的数据。 影响危害：OpenSSL是互联网应用最广泛的安全传输方法，被各大 HYPERLINK /view/21984