安全漏洞“心脏出血”继续 原因是“丘比特”

标签: 业界 网络安全 OpenSSL 心脏出血 | 发表时间:2014-05-31 22:12 | 作者:谭成好
出处:http://www.leiphone.com

虽然距离OpenSSL爆出 心脏出血漏洞(heartbleed)已过去了有一段时间,但这个漏洞的影响却远没有结束。葡萄牙的安全研究人员发布的一份报告显示,同样的漏洞可以在WiFi传输过程中重演,攻击者可以借此对安卓设备进行攻击。

heartbleed

这种新型的攻击被称为“丘比特”,攻击方式与网页漏洞有所不同。当人们通过企业路由器或者恶意路由器连接安卓设备时,攻击者利用这个可以漏洞获取设备工作内存里的信息片段,从而窃取用户的信息。在这个过程中,用户证书、设备证书和密钥都会一览无遗。鉴于漏洞的严重性,研究人员已经发布了一个补丁,他们希望用户,特别是管理员能够尽早进行更新。

研究人员表示,目前尚不清楚有多少设备会遭受攻击,但是这个漏洞造成的破坏性可能不会比上次心脏出血漏洞大。其中,最可能遭受攻击的是无线LAN中常见的基于EPA的路由器,使用过程中通常需要单独用户名和密码进行登陆。在测试后他们发现,不管是路由器还是认证服务器,攻击者都可以利用心脏出血漏洞窃取用户密钥。虽然不知道有多少路由器会因配置问题会被攻击,但由于这种攻击只限于WiFi范围内,所以被攻击的目标也很明确,因此该漏洞造成的影响应该不会有之前那次那么广泛。

值得注意的是,许多安卓设备仍在使用4.1.1版的系统,而该版本最容易受到此漏洞的影响。在进行路由器攻击时,攻击者会提供一个公共的WiFi信号,然后利用心脏出血漏洞从连上该信号的设备里窃取信息。这种新型的攻击方式让很多安卓设备暴露于危险之中。据统计,到上个月底,仍有数百万的安卓设备在使用4.1.1版,这些没有进行更新的设备可能会遭受到攻击。这则消息更是一种警示,告诉我们心脏出血漏洞仍然在影响着大量设备。尽管大型服务器打了补丁,但是攻击者更可能暗地里对用户设备发起攻击。研究人员表示,由于OpenSSL和TLS这些服务的广泛使用,有一大批的设备会成为被攻击的潜在目标。  “虽然网页和邮件是TLS的最大使用者,但并不意味着只有他们使用这些服务。” 凡是没有打补丁的设备,都可能会被窃取信息。

迄今为止,心脏出血漏洞造成的破坏中,大概只有半数被清理干净,“丘比特”恐怕也只是冰山一角。在未来的数年内,我们可能仍会不断见到这类攻击。

Via: theverge

相关

Heartbleed代码作者发声:这是一次严重的意外

文章内容来自网络投稿,雷锋网登载此文为出于传递更多信息目的,作者观点不代表雷锋网
责任编辑: 张 驰

您可能也喜欢:

基于地理位置的折扣应用Shopkick下载量突破180万

如果你是啪啪的设计者,下一步会做什么?

制作一个显微镜镜头要多少钱?也许只要1美分

人工智能的结晶:Fleksy高级智能纠错输入法

Circuit Scribe:电路可以画出来
无觅

相关 [安全漏洞 心脏 出血] 推荐:

安全漏洞“心脏出血”继续 原因是“丘比特”

- - 雷锋网
虽然距离OpenSSL爆出 心脏出血漏洞(heartbleed)已过去了有一段时间,但这个漏洞的影响却远没有结束. 葡萄牙的安全研究人员发布的一份报告显示,同样的漏洞可以在WiFi传输过程中重演,攻击者可以借此对安卓设备进行攻击. 这种新型的攻击被称为“丘比特”,攻击方式与网页漏洞有所不同. 当人们通过企业路由器或者恶意路由器连接安卓设备时,攻击者利用这个可以漏洞获取设备工作内存里的信息片段,从而窃取用户的信息.

威胁远胜“心脏出血”?国外新爆Bash高危安全漏洞

- - FreeBuf.COM
这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞. 其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强. [OpenSSL心脏出血漏洞全回顾]  http://www.freebuf.com/articles/network/32171.html.

解析OpenSSL“心脏流血”:最危险的网站安全漏洞?

- - 创业邦
  美国新闻网站Vox周二撰文,对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读.   SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息. 当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密.   这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

APPScan安全漏洞扫描

- - 互联网 - ITeye博客
欢迎有需要的朋友们前来下载使用. 个人认为appscan扫描太慢,不如WVS扫描快,可配合使用. IBM AppScan安装破解教程. 1、在本站提供的百度网盘地址中下载这两个文件,AppScan_Std_9.0.3.6_Eval_Win.exe是安装主程序,LicenseProvider.dll为破解文件,双击AppScan_Std_9.0.3.6_Eval_Win.exe进行安装.

WebGL存在严重的安全漏洞

- CandyFrankie - Solidot
Panggit 写道 "HTML5中的WebGL技术已在Firefox和Chrome等浏览器中实现,并被默认开启,但这实际上给浏览器带来了极大的安全隐患. 问题根源在于,大多显卡以及显卡驱动在设计时并不考虑安全问题,而将相关安全问题交由操作系统完成. 但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行,这会使脚本取得跨域名的执行权限,甚至取得访问本地文件的权限.

Tor修复部分安全漏洞

- Yan - Solidot
法国研究人员Eric Filiol声称发现了Tor匿名网络加密系统存在一个严重漏洞,能让攻击者发现网络中隐蔽的节点,甚至利用漏洞控制使用者的计算机. 漏洞与Tor加密实现有关,研究人员没有披露攻击细节. Tor项目基金会发表声明驳斥了 Filiol的部分说法,称他的数据是有缺陷,他的声明有夸大之嫌,同时指出研究人员没有与Tor分享研究数据.

openssl心脏出血bug的补丁修复

- - 行业应用 - ITeye博客
先到 https://www.openssl.org/source/ 这里下载 openssl-1.0.1g.tar.gz. 已有 0 人发表留言,猛击->> 这里<<-参与讨论. —软件人才免语言低担保 赴美带薪读研.

许多设备永远都不会修复心脏出血漏洞

- - TECH2IPO创见
本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《 Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文,主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成威海,但却存在非常高的安全风险.

Metasploit Framework 4.0发布,开源的安全漏洞检测工具

- Tairan Wang - ITeye资讯频道
Metasploit是一款开源的安全漏洞检测工具,由于是免费的,因此常被安全工作人员用来检测系统的安全性. Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台. 这个框架主要是由Ruby编写的,并带有一些C语言和汇编语言组件.