處理新發(fā)現(xiàn)的軟件漏洞，一直是網(wǎng)上日常生活的一部分，但很少有年份像2014年一樣發(fā)現(xiàn)如此多影響數(shù)百萬(wàn)設(shè)備安全性的漏洞。

2014年出現(xiàn)的幾個(gè)撼動(dòng)互聯(lián)網(wǎng)的漏洞，都不是在新軟件中發(fā)現(xiàn)的。相反，它們隱藏在幾年甚至幾十年前的代碼中，大家普遍認(rèn)為這些代碼經(jīng)過(guò)了嚴(yán)格的審查，但誰(shuí)能想到呢。

普遍的觀點(diǎn)認(rèn)為，如果某一個(gè)軟件被有巨額安全預(yù)算的公司廣泛應(yīng)用，那它肯定被檢查了數(shù)百萬(wàn)次。每個(gè)人都在靠別人來(lái)做測(cè)試。這也激發(fā)了更多的黑客在長(zhǎng)期使用的代碼中尋找漏洞，這樣的結(jié)果令人不寒而栗。

雷鋒網(wǎng)帶大家細(xì)數(shù)下2014年影響最大的漏洞。

Heartbleed

Heartbleed又名“心臟出血”，從名字上就能看出它有多危險(xiǎn)。

今年4月，Heartbleed首次被曝光，它允許黑客攻擊任何采用OpenSSL的服務(wù)器，它不僅可以破解加密數(shù)據(jù)，還可從內(nèi)存里讀取隨機(jī)數(shù)據(jù)，影響了全網(wǎng)約三分之二的服務(wù)器。

它允許黑客直接竊取用戶密碼，私人秘鑰以及其他一些敏感數(shù)據(jù)。即使修復(fù)了Heartbleed，用戶也需要大規(guī)模修改密碼。

直到現(xiàn)在，很多服務(wù)器仍然沒(méi)有修復(fù)，據(jù)統(tǒng)計(jì)，仍有30萬(wàn)網(wǎng)絡(luò)設(shè)備仍沒(méi)有安裝補(bǔ)丁，其中包括一些網(wǎng)絡(luò)攝像頭、打印機(jī)、存儲(chǔ)服務(wù)器、路由器和防火墻等。

Shellshock

OpenSSL的漏洞使得Heartbleed存在了2年多之久，但是存在于Unix“bash”功能中的漏洞，或許可以贏得最古老漏洞獎(jiǎng)。它誕生至今已有25周年，沒(méi)有在公開(kāi)場(chǎng)合被發(fā)現(xiàn)過(guò)。任何包括了shell工具的Linux或Mac服務(wù)器都可能受影響。

今年9在漏洞被發(fā)現(xiàn)的一段時(shí)間內(nèi)，就有上千臺(tái)電腦感染了惡意軟件，被用于僵尸網(wǎng)絡(luò)攻擊。。而且，初步補(bǔ)丁很快就被發(fā)現(xiàn)存在自身漏洞。第一個(gè)找到這一安全漏洞安全研究員Robert David Graham稱，它比Heartbleed還嚴(yán)重。

POODLE

在Heartbleed攻擊了世界各地的加密服務(wù)器6個(gè)月后，一組谷歌研究人員發(fā)現(xiàn)了另一個(gè)加密漏洞，可攻擊連接到服務(wù)器另一端的設(shè)備：電腦和電話。

這個(gè)存在于SSL 3.0中的漏洞允許黑客攻擊用戶電話，攔截用戶電腦和在線服務(wù)之間加密的所有數(shù)據(jù)，不同于Heartbleed，黑客若想要利用POODLE漏洞，就必須和被入侵者在同一個(gè)網(wǎng)絡(luò)。該漏洞主要是威脅開(kāi)放WiFi網(wǎng)絡(luò)。

Gotofail

Heartbleed和Shellshock影響如此之深，以至于我們都忘了2014年的第一個(gè)重大漏洞，不過(guò)它僅能影響蘋(píng)果用戶。

2月時(shí)蘋(píng)果透露，蘋(píng)果用戶自己的加密網(wǎng)絡(luò)流量容易受到同在本地網(wǎng)絡(luò)內(nèi)的其他人的攔截。該漏洞被稱為Gotofail，是由在OSX和iOS上，實(shí)現(xiàn)SSL和TLS數(shù)據(jù)加密的代碼的“goto”命令錯(cuò)置造成的。

讓問(wèn)題加劇的是，蘋(píng)果為iOS發(fā)布了補(bǔ)丁，但沒(méi)管OS X！這就等于公布了一個(gè)漏洞，但不做任何安全措施！也難怪不少用戶都會(huì)罵娘了。

BadUSB

在2014年發(fā)現(xiàn)的最陰險(xiǎn)的漏洞與軟件代碼中的漏洞沒(méi)關(guān)系，這讓它幾乎無(wú)法修補(bǔ)。它就是BadUSB，初次亮相于8月份的黑帽大會(huì)上，讓USB安全陷入信任危機(jī)。

由于內(nèi)存芯片可被重寫(xiě)，黑客可用惡意軟件感染USB控制器芯片，這讓它無(wú)法像平常一樣被掃描出來(lái)。例如，拇指驅(qū)動(dòng)器可能包含無(wú)法察覺(jué)的惡意軟件，偷偷竊取用戶指令。

只有大約一半的USB芯片是可重寫(xiě)的，會(huì)受到BadUSB攻擊。但由于USB制造商經(jīng)常心血來(lái)潮更換供應(yīng)商，幾乎不可能知道哪些設(shè)備容易受到BadUSB攻擊。唯一的應(yīng)對(duì)方法就是，把USB設(shè)備當(dāng)“注射器”一樣使用，永遠(yuǎn)不共享或者絕不插入到一個(gè)不可信的設(shè)備上。

在漏洞公布后不久，一組研究人員公布了逆向工程版本的攻擊代碼，想以此向芯片制造商施壓，解決問(wèn)題。雖然很難說(shuō)是否有人會(huì)利用這些代碼，但這意味著數(shù)以百萬(wàn)計(jì)的USB設(shè)備將陷入相當(dāng)不值得信任的狀態(tài)。

via wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。