你中过招儿没2014年五大最危险软件漏洞.PDFVIP

当前文档由后花园网文自动生成，更多内容请访问 HTTP://WWW.HHYWW.NET 你中过招儿没？2014年五大最危险软件漏洞 来源于:IT之家 安全业界的研究员们每天都在寻找新的软件漏洞，但是已经很久没有象 2014年这样出现数量如此之多或影响范围如此之广的漏洞了。回顾即将结束的 2014年，一个又一个重量级漏洞接踵而至，受到影响的设备竟以百万计，系统 管理员和用户简直要抓狂了。 今年被发现的几个重大安全漏洞震惊了整个互联网，令安全社区颜面尽失 ，因为这些漏洞并不是在新软件中被发现的，而是从已经推出了几年甚至几十 年的老软件中被挖出来的。有几个漏洞可以说是普通用户的悲剧，因为这么多 人使用了这么久的时间，人们一直以为它们是没有漏洞的。 SR Labs的柏林安全研究员卡尔斯滕诺尔（Karsten Nohl）称：“人们总是 认为，拥有大量安全预算的大公司们都普遍使用的软件肯定已经被检查了很多 次了，大家都想偷懒，希望其他人去做检测工作，结果谁都没有认真做完所有 的安全检查工作。” 他说，今年在最常用的工具中发现的那些重要漏洞说明了一个问题，即黑 客们已经开始在老软件中寻找长期被人们忽略掉的漏洞。在很多情况下，这将 造成惊人的后果。现在就跟我们来一起历数2014年在研究社区和全球网络上横 行无忌的安全漏洞。 心脏流血 当加密软件失效的时候，最糟糕的结果是某些信息可能会外泄。但是当心 脏流血漏洞被黑客利用时，后果要严重得多。 心脏流血漏洞在今年4月被首次曝光时，黑客可以通过它向全球三分之二的 网络服务器发动攻击。那些服务器使用了开源软件OpenSSL，心脏流血漏洞就存 在于该软件中。利用这个漏洞，黑客不仅可以破解加密的信息，而且可以从内 存中提取随机数据。换句话说，黑客可以利用这个漏洞直接窃取目标用户的密 码、私人密钥和其他敏感用户数据。 谷歌工程师尼尔梅赫塔（Neal Mehta）和发现这个漏洞的安全公司 Codenomicon一起开发出了对应的补丁，但是即便在系统管理员安装好这个补丁 之后，用户仍然不能肯定他们的密码是否失窃了。因此，心脏流血漏洞促成了 历史上最大规模的修改密码行动。 即使到今天，很多设备上的OpenSSL存在的漏洞仍然没有被补上。扫描工具 软件Shodan的发明者约翰麦瑟利（John Matherly）通过分析发现，现在仍有 30万台服务器没有安装心脏流血的补丁，其中有很多设备可能是所谓的“嵌入 式设备”，比如网络摄像头、打印机、存储服务器、路由器、防火墙等。 Shellshock OpenSSL软件中的漏洞存在了两年多的时间，但是Unix的“进入子程序”功 能中的一个漏洞却是存在时间最长的漏洞，它至少存在了25年的时间才被发现 。任何安装了这个壳工具的Linux或Mac服务器都有被攻击的危险。 结果是，美国计算机紧急响应小组在9月公布这个漏洞后，不到几个小时就 有上万台机器遭到恶意软件的DoS攻击。然而灾难并没有结束，美国计算机紧急 响应小组最开始发布的补丁很快被发现自身也有一个漏洞。第一个扫描互联网 来寻找存在漏洞的Shellshock设备的安全研究员罗伯特大卫格拉汉姆（Robert David Graham）称，这个漏洞比心脏流血漏洞还要糟糕。 POODLE 心脏流血漏洞袭击了全球的加密服务器之后仅过了6个月，谷歌的研究员们 又发现了一个加密漏洞。这次漏洞位于安全软件保护的另一端：与那些服务器 连接的PC和手机。 存在于3.0版SSL中的这个名为POODLE的漏洞允许攻击者劫持用户的会话 ，窃取在用户电脑与加密在线服务之间传输的所有数据。与心脏流血漏洞不同 的是，黑客可以利用POODLE漏洞发起攻击时必须与目标在同一个网络上，这个 漏洞威胁的主要是开放WiFi网络的用