信息來源:安全牛
軟件廠商會(huì)修復(fù)這些漏洞�����,但用戶應(yīng)該謹(jǐn)記�,總有零日漏洞利用恣意生長�。
美國CIA網(wǎng)絡(luò)間諜武器庫數(shù)據(jù)泄露之后��,軟件廠商重申了其及時(shí)修復(fù)漏洞的承諾����,告訴用戶:該機(jī)構(gòu)被泄文檔中描述的很多漏洞都已經(jīng)被修復(fù)了。
從公共關(guān)系角度看來����,這些保障都是可以理解的,但它們真心改變不了任何事�。尤其是對(duì)被國家支持黑客所盯上的公司和用戶來說。他們使用的軟件�����,并不比維基解密公布了那 8,700+ CIA文檔之前更不安全�����,也沒有受到更好的防護(hù)����。
被泄文件描述的是CIA網(wǎng)絡(luò)部所用惡意軟件工具和漏洞利用程序,可以黑進(jìn)所有主流桌面和移動(dòng)操作系統(tǒng)��,以及網(wǎng)絡(luò)設(shè)備和嵌入式設(shè)備,比如智能電視����。這些文檔不包含工具真實(shí)代碼,其中一些可能說明問題的描述也被刪去了���。
維基解密創(chuàng)始人阿桑奇稱����,該揭秘網(wǎng)站會(huì)與軟件廠商共享未公開的信息�����,以便漏洞能被修復(fù)��。但即便維基解密這么做了�,最好還是認(rèn)清這些信息僅是適時(shí)出現(xiàn)的一幀快照而已�����。
這批文檔中最近的時(shí)間戳是2016年3月初�����,可能揭示了文件從CIA系統(tǒng)中拷貝出來的時(shí)間。一些漏洞利用列表也提示了相同信息���。
比如說�,描述蘋果iOS漏洞利用的頁面��,包含有一張按iOS版本排列的表格�。這張表格終止于 iOS 9.2——在2015年12月發(fā)布的版本。下一個(gè)重要更新�,iOS 9.3,就是在2016年3月發(fā)布的了�����。
代號(hào)Nandao的一個(gè)內(nèi)核漏洞利用��,來自英國政府通信總部(GCHQ)����,被列為對(duì) iOS 8.0~9.2 有效。這是否意味著次漏洞對(duì) iOS 9.3 及其后版本就不起作用呢�?未必。更有可能的是����,該表格終止于9.2����,僅僅是因?yàn)镃IA文件被復(fù)制時(shí)最新的版本就到9.2了�。
而且,沒有進(jìn)一步細(xì)節(jié)描述的話��,蘋果公司也無法確定這個(gè)和其他漏洞利用是否已打上補(bǔ)丁����。Nandao的唯一描述是:這是個(gè)堆溢出內(nèi)存泄露漏洞,甚至連作用于哪個(gè)內(nèi)核組件都沒說���。
“除非蘋果獲得漏洞完整描述���,并進(jìn)行了深入全面的根源分析,否則它無法確定更新的版本受不受影響�。”漏洞情報(bào)公司 Risk and Security 首席研究官卡斯滕·艾拉姆表示���。
影響其他軟件的漏洞也是相同的情況。艾拉姆的公司已證實(shí)���,其中一些漏洞已被修復(fù)��,但有些仍在受影響軟件的最新版本中可用��,比如Prezi桌面演示軟件中的DLL注入漏洞�。
用戶不應(yīng)僅僅因?yàn)樵诒恍刮募斜惶岬剑图俣ㄖ蟾碌陌姹揪筒皇苡绊憽?/span>
而且���,即便所有這些漏洞都被提供給了廠商做修復(fù)��,也不意味著CIA就沒有更新的零日漏洞可用了��。其漏洞獲取工作可沒在2016年3月就停止����。
該機(jī)構(gòu)在其內(nèi)部文檔被泄之時(shí)擁有沒補(bǔ)上的漏洞利用�����,那現(xiàn)在就很可能手握流行程序和操作系統(tǒng)最新版本的類似漏洞��。
總有零日漏洞在我們看不到的地方恣意生長�,不僅僅在情報(bào)機(jī)構(gòu)的手中。2015年意大利司法監(jiān)視軟件公司 Hacking Team 泄露事件��,就揭示了該公司一直在從黑客手中購買零日漏洞利用。
這些年來���,無數(shù)黑客組織都在其攻擊中使用領(lǐng)日漏洞利用���,有些使用得異常頻繁,很可能囤積了一大批未修復(fù)的漏洞���。還有私人代理支付大量錢財(cái)購買此類漏洞��,再轉(zhuǎn)手賣給其客戶——司法部門和情報(bào)機(jī)構(gòu)�。
“該泄露很大程度上僅證實(shí)了此類機(jī)構(gòu)的能力大大超出我們想象���?�!?/span>
艾拉姆認(rèn)為���,軟件行業(yè)可以更好地防止開發(fā)人員在代碼中引入漏洞,也可以創(chuàng)建各種功能讓漏洞利用更難以實(shí)現(xiàn)��,減少漏洞風(fēng)險(xiǎn)�����。但在可以預(yù)見的未來清除所有漏洞的魔杖是不存在的。若說有什么的話��,年度統(tǒng)計(jì)數(shù)據(jù)顯示���,軟件漏洞的數(shù)量實(shí)際上是在增加的。
“出于此原因�,在不引發(fā)妄想的情況下,用戶最好謹(jǐn)記:在數(shù)字世界遨游的時(shí)候��,總有些人有實(shí)力想黑你就能黑�。一點(diǎn)點(diǎn)邏輯、一咪咪懷疑�、一些些安全意識(shí),就能在物理和數(shù)字世界中都讓你走得更遠(yuǎn)����。”
可能成為網(wǎng)絡(luò)間諜攻擊目標(biāo)的用戶和公司��,應(yīng)采取多層次防御方法�,不能單單依靠應(yīng)用廠商補(bǔ)丁,還須將零日漏洞的存在納入考慮���。
