本報記者 武曉莉
安全漏洞一直是用戶最為擔心的問題,尤其是智能移動互聯網時代,人們生活的方方面面都和網絡搭上了關系。今年上半年相繼爆發的十大安全漏洞,顯示了互聯網安全的嚴峻性。日前,業界安全專家、長城重點安全實驗室主任陳亮對這十大安全漏洞進行了分析。
OpenSSL“心臟出血”漏洞
爆發于4月份的Heartbleed漏洞,可以直譯為“心臟出血”,是OpenSSL源代碼中存在的一個重大安全漏洞。
OpenSSL是互聯網應用最廣泛的安全傳輸方法,被各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站所廣泛使用。此漏洞被普遍認為是近年來危害最嚴重的安全漏洞。該漏洞可以讓黑客輕松在http開頭的網址服務器上,實時抓取用戶的賬號密碼。從該漏洞被公開到漏洞被修復的這段時間內,已經有一些網站用戶信息被黑客非法獲取。未來一段時間內,黑客可能會利用獲取到的這些用戶信息,在互聯網上再次進行其他形式的惡意攻擊,針對用戶的如網絡詐騙等“次生危害”可能會大量集中顯現。
從影響上看,加拿大稅務局因該漏洞關閉了電子服務網站,維基也提醒用戶更換密碼。
目前所知,國內如下系統如果運營維護不當,會導致可能存在隨機登錄銀聯賬戶并獲取服務器敏感信息:淘寶主站、微信網頁版和公眾賬號版、中國銀聯、12306新版訂票系統、比特幣中國、搜狗通行證服務器、樂視網、鳳凰網、京東某分站(存在此漏洞導致敏感信息泄露及已證明全站隨機用戶可登錄)、搜狐暢游和聯想官網。
Struts2-021補丁繞過漏洞
4月23日晚,安全人員研究發現Apache公司提供的升級版本并未完全修復漏洞,補丁中的相關安全機制仍可被黑客繞過。中國建設銀行、中國工商銀行、中國銀行、淘寶、京東、中國移動官網等都采用Struts2框架,此漏洞對上述網站服務器構成了拒絕服務和遠程控制的威脅。
攻擊者利用此漏洞,可以遠程對目標服務器執行任意系統命令,輕則可竊取網站數據信息,重則可取得網站服務器控制權,從而造成信息泄露并給網站運行帶來嚴重的安全威脅;特別是政府、公安、交通、金融和運營商等尤其需要重視。
蘋果GotoFail漏洞
2月份出現的GotoFail漏洞,會使蘋果應用程序易受中間人攻擊,無法保障網絡信息傳輸的安全性。
對該漏洞享有網絡特權位置的攻擊者將有可能會獲取或者修改SSL/TLS所保護的數據。該漏洞會使用戶發送的信息可被攻擊者截獲,包括網站登錄密碼、網銀支付密碼、電子郵件和聊天記錄等重要信息,從而對網銀、網游、網上交易等造成極大的威脅,進而易給用戶帶來財產損失與精神損失。而且,在通訊兩端都在使用公共WiFi的情況下,最易受到攻擊。
IE秘狐漏洞
4月份的IE秘狐漏洞是XP停服后爆出的首個重大漏洞。利用此漏洞,黑客就可以遠程植入木馬病毒,完全控制受影響的系統,進行刪除數據、安裝惡意軟件以及創建完整權限賬戶等惡意操作。該漏洞影響IE6-IE11全線版本。
由于IE全球市場份額高達55%,導致超過半數網民受此漏洞影響。按照微軟慣例,每月第二個星期的星期二是其補丁發布的日期。但由于“秘狐”漏洞高度危險,漏洞攻擊代碼又已在網上公開,木馬產業鏈很可能聞風而動,大規模地在互聯網上進行遠程攻擊。所以微軟破例提前推出補丁,包括已經停服的XP也支持修復此高危漏洞。
Windows上的內核級漏洞
通過7月份爆發的Windows上的內核級漏洞,黑客可提升Windows系統權限,入侵服務器。成功利用此漏洞的黑客可以完全控制受影響的系統,同時也可以通過這個漏洞將原本的用戶權限賬戶提升為系統管理員,從而進行賬戶創建、安裝木馬等操作。而對于網站服務器來說,此漏洞更是一種災難。因為攻擊者通過利用網站程序的漏洞拿到服務器的Webshel后,如果只有普通的用戶權限,只能對網站中的文件進行操作,無法影響服務器的安全。然而利用此漏洞,便可以拿到服務器權限,從而入侵整臺服務器。
Chrome任意內存讀寫漏洞
Chrome任意內存讀寫漏洞是今年3月份爆發的。GoogleChrome是一款流行的Web瀏覽器,它所使用的V8引擎存在安全漏洞。遠程攻擊者可利用此漏洞構建惡意Web頁,并通過Chrome瀏覽器對用戶電腦內存進行任意讀寫,致使應用程序崩潰或執行任意代碼,從而竊取用戶隱私、盜用手機話費、獲取地理位置、通訊錄信息、圖片等,給用戶帶來嚴重的財產損失和精神損失。
Safari任意代碼執行漏洞
3月份爆發的該漏洞可以讓黑客在用戶不知情的情況下執行任意惡意代碼,并且手機木馬可利用該漏洞變身為系統超級用戶,從而完全控制手機,可以盜用話費、竊取短信、通訊錄等隱私甚至可以監聽通話,進而造成用戶的隱私泄露和財產損失。
Safari是蘋果操作系統MacOSX中的瀏覽器,使用了 KDE的KHTML作為瀏覽器的運算核心。OSX平臺上Safari7.0.2存在安全漏洞,可使遠程攻擊者執行任意代碼。
Linux/Andriod本地提權漏洞
今年6月份爆發的Linux內核漏洞,會影響三星GalaxyS5和很多Linux發行版。
該漏洞出現在Linux的futex系統調用中,攻擊者便可讀寫內核內存,造成本地提權。提權后,攻擊者可以遠程控制用戶的移動設備,比如將移動設備里的用戶隱私信息傳送回指定服務器后再清空你的設備;也可以記錄鍵盤輸入,然后將用戶輸入的任何信息定時上傳到他們的服務器中,包括用戶輸入的銀行賬戶和密碼,可以隨意替換或刪除移動設備中的相關數據。簡單概括起來就是,可以讓攻擊者對移動設備做任何的事情。
AdobeFlashPlayer漏洞
7月爆發的AdobeFlashPlayer是一個集成的多媒體播放器。遠程攻擊者可以利用此漏洞獲取敏感信息,也可以冒用用戶的名義發送郵件、消息,盜取銀行賬號,甚至于購買商品,虛擬貨幣轉賬等,致使個人隱私泄露帶來財產安全隱患。此類漏洞造成的后果都是十分嚴重的。
WordPressDDoS攻擊漏洞
3月以來,國內外均監測到大量利用該漏洞發動的DDoS攻擊。超過16.2萬家 WordPress網站被黑客利用,向目標網站進行了 DDoS攻擊。目前國內大部分中小博客網站都采用了WordPress博客平臺,因此都存在被黑客利用的潛在威脅。此類攻擊是分布式洪水攻擊,其向服務器發送每秒高達數百次的請求。所有請求都是隨機值,因而繞過了緩存,并且每回都迫使頁面重新加載,于是目標服務器很快就宕機了。
DDoS的攻擊方式有很多種,最基本的DDoS攻擊就是利用合理的服務請求,來占用過多的服務資源,從而使合法用戶無法得到服務的響應。
京公網安備 11010502049343號