處理新發(fā)現(xiàn)的軟件漏洞，一直是網(wǎng)上日常生活的一部分，但很少有年份像2014年一樣發(fā)現(xiàn)如此多影響數(shù)百萬設(shè)備安全性的漏洞。

2014年出現(xiàn)的幾個撼動互聯(lián)網(wǎng)的漏洞，都不是在新軟件中發(fā)現(xiàn)的。相反，它們隱藏在幾年甚至幾十年前的代碼中，大家普遍認為這些代碼經(jīng)過了嚴格的審查，但誰能想到呢。

普遍的觀點認為，如果某一個軟件被有巨額安全預(yù)算的公司廣泛應(yīng)用，那它肯定被檢查了數(shù)百萬次。每個人都在靠別人來做測試。這也激發(fā)了更多的黑客在長期使用的代碼中尋找漏洞，這樣的結(jié)果令人不寒而栗。

雷鋒網(wǎng)帶大家細數(shù)下2014年影響最大的漏洞。

Heartbleed

Heartbleed又名“心臟出血”，從名字上就能看出它有多危險。

今年4月，Heartbleed首次被曝光，它允許黑客攻擊任何采用OpenSSL的服務(wù)器，它不僅可以破解加密數(shù)據(jù)，還可從內(nèi)存里讀取隨機數(shù)據(jù)，影響了全網(wǎng)約三分之二的服務(wù)器。

它允許黑客直接竊取用戶密碼，私人秘鑰以及其他一些敏感數(shù)據(jù)。即使修復(fù)了Heartbleed，用戶也需要大規(guī)模修改密碼。

直到現(xiàn)在，很多服務(wù)器仍然沒有修復(fù)，據(jù)統(tǒng)計，仍有30萬網(wǎng)絡(luò)設(shè)備仍沒有安裝補丁，其中包括一些網(wǎng)絡(luò)攝像頭、打印機、存儲服務(wù)器、路由器和防火墻等。

Shellshock

OpenSSL的漏洞使得Heartbleed存在了2年多之久，但是存在于Unix“bash”功能中的漏洞，或許可以贏得最古老漏洞獎。它誕生至今已有25周年，沒有在公開場合被發(fā)現(xiàn)過。任何包括了shell工具的Linux或Mac服務(wù)器都可能受影響。

今年9在漏洞被發(fā)現(xiàn)的一段時間內(nèi)，就有上千臺電腦感染了惡意軟件，被用于僵尸網(wǎng)絡(luò)攻擊。。而且，初步補丁很快就被發(fā)現(xiàn)存在自身漏洞。第一個找到這一安全漏洞安全研究員Robert David Graham稱，它比Heartbleed還嚴重。

POODLE

在Heartbleed攻擊了世界各地的加密服務(wù)器6個月后，一組谷歌研究人員發(fā)現(xiàn)了另一個加密漏洞，可攻擊連接到服務(wù)器另一端的設(shè)備：電腦和電話。

這個存在于SSL 3.0中的漏洞允許黑客攻擊用戶電話，攔截用戶電腦和在線服務(wù)之間加密的所有數(shù)據(jù)，不同于Heartbleed，黑客若想要利用POODLE漏洞，就必須和被入侵者在同一個網(wǎng)絡(luò)。該漏洞主要是威脅開放WiFi網(wǎng)絡(luò)。

Gotofail

Heartbleed和Shellshock影響如此之深，以至于我們都忘了2014年的第一個重大漏洞，不過它僅能影響蘋果用戶。

2月時蘋果透露，蘋果用戶自己的加密網(wǎng)絡(luò)流量容易受到同在本地網(wǎng)絡(luò)內(nèi)的其他人的攔截。該漏洞被稱為Gotofail，是由在OSX和iOS上，實現(xiàn)SSL和TLS數(shù)據(jù)加密的代碼的“goto”命令錯置造成的。

讓問題加劇的是，蘋果為iOS發(fā)布了補丁，但沒管OS X！這就等于公布了一個漏洞，但不做任何安全措施！也難怪不少用戶都會罵娘了。

BadUSB

在2014年發(fā)現(xiàn)的最陰險的漏洞與軟件代碼中的漏洞沒關(guān)系，這讓它幾乎無法修補。它就是BadUSB，初次亮相于8月份的黑帽大會上，讓USB安全陷入信任危機。

由于內(nèi)存芯片可被重寫，黑客可用惡意軟件感染USB控制器芯片，這讓它無法像平常一樣被掃描出來。例如，拇指驅(qū)動器可能包含無法察覺的惡意軟件，偷偷竊取用戶指令。

只有大約一半的USB芯片是可重寫的，會受到BadUSB攻擊。但由于USB制造商經(jīng)常心血來潮更換供應(yīng)商，幾乎不可能知道哪些設(shè)備容易受到BadUSB攻擊。唯一的應(yīng)對方法就是，把USB設(shè)備當“注射器”一樣使用，永遠不共享或者絕不插入到一個不可信的設(shè)備上。

在漏洞公布后不久，一組研究人員公布了逆向工程版本的攻擊代碼，想以此向芯片制造商施壓，解決問題。雖然很難說是否有人會利用這些代碼，但這意味著數(shù)以百萬計的USB設(shè)備將陷入相當不值得信任的狀態(tài)。

via wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。