精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

安全業界的研究員們每天都在尋找新的軟件漏洞，但是已經很久沒有象2014年這樣出現數量如此之多或影響范圍如此之廣的漏洞了。回顧即將結束的2014年，一個又一個重量級漏洞接踵而至，受到影響的設備竟以百萬計，系統管理員和用戶簡直要抓狂了。

今年被發現的幾個重大安全漏洞震驚了整個互聯網，令安全社區顏面盡失，因為這些漏洞并不是在新軟件中被發現的，而是從已經推出了幾年甚至幾十年的老軟件中被挖出來的。有幾個漏洞可以說是普通用戶的悲劇，因為這么多人使用了這么久的時間，人們一直以為它們是沒有漏洞的。

SR Labs的柏林安全研究員卡爾斯滕諾爾（Karsten Nohl）稱：“人們總是認為，擁有大量安全預算的大公司們都普遍使用的軟件肯定已經被檢查了很多次了，大家都想偷懶，希望其他人去做檢測工作，結果誰都沒有認真做完所有的安全檢查工作。”

他說，今年在最常用的工具中發現的那些重要漏洞說明了一個問題，即黑客們已經開始在老軟件中尋找長期被人們忽略掉的漏洞。在很多情況下，這將造成驚人的后果?，F在就跟我們來一起歷數2014年在研究社區和全球網絡上橫行無忌的安全漏洞。

心臟流血

當加密軟件失效的時候，最糟糕的結果是某些信息可能會外泄。但是當心臟流血漏洞被黑客利用時，后果要嚴重得多。

心臟流血漏洞在今年4月被首次曝光時，黑客可以通過它向全球三分之二的網絡服務器發動攻擊。那些服務器使用了開源軟件OpenSSL，心臟流血漏洞就存在于該軟件中。利用這個漏洞，黑客不僅可以破解加密的信息，而且可以從內存中提取隨機數據。換句話說，黑客可以利用這個漏洞直接竊取目標用戶的密碼、私人密鑰和其他敏感用戶數據。

谷歌工程師尼爾梅赫塔（Neal Mehta）和發現這個漏洞的安全公司Codenomicon一起開發出了對應的補丁，但是即便在系統管理員安裝好這個補丁之后，用戶仍然不能肯定他們的密碼是否失竊了。因此，心臟流血漏洞促成了歷史上最大規模的修改密碼行動。

即使到今天，很多設備上的OpenSSL存在的漏洞仍然沒有被補上。掃描工具軟件Shodan的發明者約翰麥瑟利（John Matherly）通過分析發現，現在仍有30萬臺服務器沒有安裝心臟流血的補丁，其中有很多設備可能是所謂的“嵌入式設備”，比如網絡攝像頭、打印機、存儲服務器、路由器、防火墻等。

Shellshock

OpenSSL軟件中的漏洞存在了兩年多的時間，但是Unix的“進入子程序”功能中的一個漏洞卻是存在時間最長的漏洞，它至少存在了25年的時間才被發現。任何安裝了這個殼工具的Linux或Mac服務器都有被攻擊的危險。

結果是，美國計算機緊急響應小組在9月公布這個漏洞后，不到幾個小時就有上萬臺機器遭到惡意軟件的DoS攻擊。然而災難并沒有結束，美國計算機緊急響應小組最開始發布的補丁很快被發現自身也有一個漏洞。第一個掃描互聯網來尋找存在漏洞的Shellshock設備的安全研究員羅伯特大衛格拉漢姆（Robert David Graham）稱，這個漏洞比心臟流血漏洞還要糟糕。

POODLE

心臟流血漏洞襲擊了全球的加密服務器之后僅過了6個月，谷歌的研究員們又發現了一個加密漏洞。這次漏洞位于安全軟件保護的另一端：與那些服務器連接的PC和手機。

存在于3.0版SSL中的這個名為POODLE的漏洞允許攻擊者劫持用戶的會話，竊取在用戶電腦與加密在線服務之間傳輸的所有數據。與心臟流血漏洞不同的是，黑客可以利用POODLE漏洞發起攻擊時必須與目標在同一個網絡上，這個漏洞威脅的主要是開放WiFi網絡的用戶，比如星巴克的顧客。

Gotofail

心臟流血漏洞和Shellshock漏洞給安全社區造成了巨大的震動，以至于人們可能會忘了2014年最先被發現的重要漏洞Gotofail。Gotofail漏洞影響的只是蘋果用戶。

今年2月，蘋果宣布用戶的加密網絡數據可能會被同一本地網絡上的其他人截獲，這主要是因為管理OSX和iOS如何執行SSL和TLS加密的軟件代碼中的“轉至”命令出錯引起的。

不幸地是，蘋果只發布了一個針對iOS的補丁而沒有發布適用于OSX的補丁。也就是說，蘋果在公布這個漏洞的消息時完全讓其臺式機電腦用戶陷入了隨時被攻擊的境地。它的這個失誤甚至激起了公司自己以前的一名安全工程師專門發了一篇博客文章來痛斥它。

克里斯汀帕吉特（Christin Paget）寫道：“你們在向你們其中一個平臺發布SSL補丁時難道沒有想到其他的平臺？我在使用我的Mac電腦時，我隨時都會受到攻擊，而且我現在還只有眼睜睜地看著，什么也干不了?？蓯鄣奶O果，你他媽的在干什么？？??？?。?rdquo;

BadUSB

2014年被發現的最陰險的攻擊并沒有借助于任何軟件中的任何安全漏洞，因此它也是無法通過補丁來修復的。這種攻擊方式是谷歌研究員卡爾斯滕諾爾（Karsten Nohl）8月份在黑帽子安全大會上最早演示的，它依仗的是USB設備中固有的一種不安全因素。

因為USB設備的固件是可以被復寫的，黑客可以編寫出惡意軟件悄悄地侵入USB控制器芯片，而不是安全軟件通常在查毒時掃描的閃存。例如，一塊U盤可能會包含一個無法被安全軟件查出的惡意件，它會破壞U盤上的文件或者模擬鍵盤動作，悄悄地將各種命令注入用戶的機器之中。

大約只有一半的USB芯片是可被復寫的，因此就有一半的USB設備會受到BadUSB的攻擊。但是由于USB設備廠商并沒有公布它們使用的是哪家廠商的芯片并且經常更換供應商，因此用戶不可能知道哪些設備會受到BadUSB的攻擊。

據諾爾說，針對這種攻擊方式的唯一保護方法是將USB設備當作“一次性注射器”一樣使用，永遠不要與他人共用或將它們插入不被信任的機器。

諾爾認為這種攻擊方式會造成很嚴重的后果，因此他拒絕公開相應的驗證概念代碼。但是一個月之后，另一群研究員公布了他們自己通過反向推導得出的攻擊代碼，迫使芯片廠商解決這個問題。很難說是否有人利用那段代碼發動過攻擊，這意味著全球各地的人們使用的無數USB設備已經不再安全了。