Heartleed帶來的傷痛還記憶猶新,這才過去幾周時間,OpenSSL 密碼庫的一個漏洞又讓全球網(wǎng)民陷入恐慌。
黑客可能利用這個漏洞披露安全連接的內(nèi)容——如密碼和信用卡交易。但更糟糕的是,另一個漏洞的發(fā)現(xiàn)帶給網(wǎng)民的恐懼如同雪上加霜,就在爆出openssl漏洞的幾周后,又爆出了OAuth和OpenID的漏洞。
據(jù)一名研究人員描述,事情還遠沒有就此結束。
有幾百萬基于Java的,以及其他開源應用都存在已知漏洞,有些漏洞都已經(jīng)曝出有幾年時間了,他警告稱。甚至直到今天,仍然有人在下載這些應用。
Sonatype的Brian Fox在周三解釋道,盡管許多項目都對漏洞進行了回應,且能迅速推出漏洞補丁,但問題是用戶不會快速響應及時下載補丁來修復。
“更何況,攻擊者都是通過相同機制來標識的,即,漏洞被發(fā)現(xiàn)和修補后,他們就具有先動優(yōu)勢,因為通常利用漏洞比更新應用框架要容易些。,”他寫道。
在一些案例中,成百上千受影響的常用Java應用被數(shù)以千計的組織下載。
他說,受影響的Struts,一款廣泛使用的應用框架, 9個月的時間里被一萬多個組織下載了80500次以上,而它就有一個重要的原創(chuàng)代碼執(zhí)行漏洞。
與此同時,盡管Bouncy Castle仍然是Java密碼運算法則中最受歡迎的安全屋,但它也包含一個漏洞,攻擊者可利用這個漏洞來破壞自漏洞曝光五年內(nèi),20000多次下載所產(chǎn)生的加密數(shù)據(jù)。據(jù)稱,超過4千家組織正在使用有漏洞的版本。
“這等于是把你想加密的東西曝光,”他說。
Heartbleed可能嚇到了很多IT組織,但Fox警告稱,還有很多開源應用并沒有得到及時更新。
他暗示道,這種狀況可能導致另一場Heartbleed式的攻擊。
京公網(wǎng)安備 11010502049343號