手机杀毒软件排行2017 2017年网络安全大事记(4)

2017年较为特殊的漏洞事件

1月：

卡巴斯基杀毒软件证书密钥出现漏洞，攻击者可通过碰撞轻易伪造证书，实现中间人劫持。

2月：

“地址空间布局随机化”(ASLR)技术被破解，包括英特尔、AMD、三星、Nvidia、微软、苹果、谷歌和Mozilla等芯片制造商和软件公司均受影响。

3月：

Cisco IOS&IOS XE Software CMP 出现远程代码执行漏洞(CVE-2017-3881)，允许未授权访问，远程攻击者可以重启设备、执行代码，提升权限。

4月：

苹果设备WiFi芯片出现任意代码执行缓冲区溢出漏洞，该漏洞影响 iPhone 5 及以上版本，iPad 4代及更新机型，还有 iPod touch 6代及更新版本。

5月：

电信德国子公司证实，黑客利用SS7漏洞窃取验证码，然后将客户账户上的资金洗劫一空。这是第一起SS7漏洞公开证实的攻击；

英特尔AMT、ISM、SBT固件6到11.6版出现漏洞(CVE-2017-5689)，攻击者可获得控制权限。

7月：

博通WiFi芯片固件出现“堆溢出”漏洞(Broadpwn)，约10亿台苹果和安卓受此影响。

8月：

车载信息控制单元中的英飞凌2G基带芯片出现漏洞，福特、英菲尼迪、日产聆风、宝马等车型均受影响；

英特尔CPU安全控制机制ME上运行的固件出现漏洞，可被利用成为后门。

9月：

蓝牙通信协议出现8个漏洞(Blueborne)，理论上可影响全球所有使用蓝牙的设备。

10月：

奥地利、美国和澳大利亚三国研究人员研究出Rowhammer终极攻击方法，可攻破目前所有可用防御措施，且可以远程进行，包括云端主机；

无线安全协议WPA2出现漏洞KRACK（密钥重装攻击），理论上可以对任何支持Wi-Fi的设备产生影响；

德国半导体制造商英飞凌的某些芯片，可信平台模块出现漏洞(CVE-2017-15361)，该漏洞允许知晓RSA公钥的攻击者获取私钥；

国际海事卫星公司的 AmosConnect 8 网络平台被曝两个漏洞，攻击者可以获得远程访问特权，接管整个平台。该平台用于监视轮船IT和导航系统，以及收发消息、邮件，浏览网页等。

11月：

苹果macOS 10.13出现高危漏洞，物理接触设备无需口令便可获取管理员权限（以root用户登录）。

12月：

包括汇丰银行、英国西敏寺银行、Co-op银行、美国银行等移动应用，出现由于“证书锁定”安全机制带来的严重缺陷，数百万用户面临中间人攻击的风险；

传输层安全协议(TLS)19年前的ROBOT漏洞再现，攻击成功后，攻击者可被动监视并记录流量，发动中间人攻击。

漏洞发现带来的几点启示：

√ 安全产品不一定安全。无论是杀毒软件还是防火墙，抑或是安全机制，用于安全防御的事物本身也能成为漏洞的藏身之处。

√ 底层漏洞防不胜防。芯片或固件一旦出现漏洞，卸载软件、打补丁、重装操作系统均无法彻底解决问题，而更新固件或是更换芯片意味着巨大的困难。

√ 通信协议或标准漏洞影响面巨大。动辄影响上亿的设备，而协议的更新换代则需要度过漫长的时间周期。

√ 数字化应用的爆发带来漏洞的爆发。无论是移动设备还是物联网设备，无论是虚拟化还是云计算与开源社区，在今年都呈飞速上升与扩展的趋势，因此漏洞的爆发应在意料之中。

√ 长老级漏洞与难打的补丁现象固疾难除。出于各种原因，许多补丁事隔很长时间才能得到修复，甚至是永远不会修复。而只有修复之后，才谈得上更新。最后，对老旧系统的更新可能才是真正的挑战。

√ 零日漏洞与开源。不谈国家强制力量，零日漏洞的一大根源是开源代码的不断扩散。每年1110亿行代码的扩张量，越来越多的开发者加入开源模块、组件、库的复用队伍。开源安全责任重大，与社区中的每一个人都有关。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-56099-4.html