每日安全资讯:专家发现漏洞后是否公示?报告称已沦为黑客的屠刀

在漏洞发现的新闻曝光或者零日漏洞的PoC代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统

每日安全资讯:专家发现漏洞后是否公示?报告称已沦为黑客的屠刀

在漏洞发现的新闻曝光或者零日漏洞的 PoC 代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统。

— 安华金和

是否公开发布安全漏洞(尤其是零日漏洞)的概念验证(PoC)代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用,在数天乃至数小时内发起攻击,导致终端用户没有充足的时间来修复受影响的系统。而公开这些 PoC 代码的并非坏人或者其他独立来源,而是理论上更应该保护用户的白帽安全研究人员。

围绕着这个争议做法的话题已经持续多年时间,而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布 PoC 代码,因为攻击者可以采用该代码并自动化攻击;而另一方认为 PoC 代码同时是测试大型网络和识别存在漏洞系统所必须的,允许IT部门成员模拟未来可能遭受到的攻击。

在上个月发布的“网络安全威胁观 2018 年第四季度”报告中,Positive Technologies 的安全专家再次触及了这场长期争论。

在这份报告中,Positive Technologies 的安全专家并没有给这个争论下判断,而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的 PoC 代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统。

在这份季度威胁报告中,Positive Technologies 表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件,表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了 Windows 系统零日漏洞的 PoC 代码,随后 ESET 安全专家就观测到了此类恶意软件活动。例如在网络上关于中文 PHP 框架的漏洞公开之后,数百万网站立即遭到了攻击。

在接受外媒 ZDNet 采访时候,Positive Technologies 的安全弹性负责人 Leigh-Anne Galloway 表示:

“作为安全行业的一员,我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。……通常公开披露的驱动因素是因为供应商没有认识到问题的严重性,也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然,危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中,并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的,为此创建了PoC代码。”

通过 CVSS 系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞,研究人员会从这项工作中赚钱,但供应商通常不会安排他们的 bug-bounty 计划,研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞,展示操作和 PoC 代码的一个例子,研究人员得到了认可和尊重。

通常情况下,研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码,从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是,很多时候,供应商会推迟发布补丁和更新,有时会延迟六个月以上,因此,在发布补丁之后,[PoC] 漏洞的公示就会发生。

更多资讯

印度外包巨头遭入侵印度 IT 外包巨头 Wipro 正在调查其 IT 系统遭到入侵,并被用于对其客户发动攻击的报道。Wipro 是印度第三大 IT 外包公司,匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。

详情:

微软向 Office 用户提供更多数据收集控制选项近年来,微软对自家产品和服务引入了更加激进的数据收集政策,但这也惹恼了许多注重隐私的客户。无论是 Windows 10 操作系统,还是 Microsoft Office 生产力套件,均包含了获取遥测数据的功能。但长期以来,用户并不能对数据收集的选项作出太多的调整,更别提轻松的找到相关的设置选项了。不过最近,微软正在酝酿给 Office 用户带来一项新的变化。

详情:

卡巴斯基报告:70% 的黑客攻击事件瞄准 Office 漏洞据美国科技媒体 ZDNet 援引卡巴斯基实验室报告称,黑客最喜欢攻击微软 Office 产品。 在 安全分析师峰会(Security Analyst Summit)上,卡巴斯基表示,分析卡巴斯基产品侦测的攻击后发现,2018 年四季度有 70% 利用了Office 漏洞。而在2016年四季度,这一比例只有16%。

详情:

个人数据保护迈出勇敢一步新加坡亚洲新闻网 4 月 15 日文章,原题:中国加大对个人数据的保护 长期以来,中国政府部门、商业机构及普通消费者一直在努力应对新兴互联网技术对个人数据保护造成的影响。随着有关问题日益严重,中国正推进制定覆盖国内外企业的国家层面的法律,以保护消费者隐私。

本文图片和文字均整理自互联网,不代表本站立场,内容如有错误或侵权,请点击右侧按钮联系我们,我们会在24小时内处理。
(0)
上一篇 2019年4月17日 06:43
下一篇 2019年4月17日 06:44

相关推荐

  • 美西方媒体造假“翻车”,“新闻自由”沦为笑话

    美西方媒体造假“翻车”,“新闻自由”沦为笑话 日前,美国情报部门发布所谓“新冠病毒溯源调查报告”要点。尽管未能就病毒源头提出任何实质性结论,但报告仍不忘继续“甩锅”中国。《纽约时报》迅速跳出来,紧随美国政客的说辞,将矛头对准中国,指责中国“拒绝世卫二次调查”,“力推美国实验室泄露阴谋论”。 好一出“贼喊捉贼”的把戏!一段时间以来,美国

    国际 2021年9月9日
    1180
  • 今年拟获积分落户资格人员名单今起公示

    7月11日,北京青年报记者从北京市人力资源和社会保障局了解到,今日起,北京市2021年拟取得积分落户资格人员名单

    国内 2021年7月11日
    1950
  • 墨绿色刀,漫威灭霸的暴君屠刀是什么东西?

    伴随着《复联4》的上映时间的靠近墨绿色刀,可以说越来越多关于《复联4》的相关所谓的“剧透”和周边也在不断涌现。而这其中,现阶段比较显眼的当属钢铁侠的MK-85战甲以及灭霸的双刃屠刀了。这些造型“剧透”源自于玩具界的大佬HotT…

    热点 2022年5月9日
    20
  • 同心实干 全面推进乡村振兴

      【聚焦自治区第十次党代会】   10月22日,阿克苏地区代表团分组讨论时,托乎提·肉孜代表就认真做好乡村振兴工作让农牧民群众实现持续增收发言。 天山网-新疆日报记者李培锋 摄   10月22日,塔城地区代表团分组讨论时,沙拉依丁·沙力克江代表就做好“访惠聚”工作助力乡村振兴发言。 天山网-新疆日报记者李…

    新疆 2021年10月24日
    390
  • 【以案说“典”】业委会起诉前物业讨回公共收益款44万元

    苏炯发作   【案例】   3月22日,在位于乌鲁木齐市唐山路的上海城小区,业主袁星收到了该小区业主委员会主任孙振江送来的200元公共收益款。“虽然不多,但这代表我们业主的权益得到了维护。”袁星欣慰地说。   据孙振江介绍,这是该小区业主委员会与前物业公司打官司拿回来的小区公共收益金,共计44.8万余元。官司赢了后,已在小区公示,19…

    民生 2021年10月16日
    180
  • “土豪”行长沦为“阶下囚”

    “土豪”行长沦为“阶下囚” 对金融行业等特殊行业的监管,一定要加强。这些行业往往小官埋着大贪,甚至无官也能够大贪。他们主要是钻了政策的空子,利用国家队特殊行业的监管漏洞,大捞特捞,数额之大让人侧目。尤其是农商银行,是从以前的农村信用社改变过来的,从根基上就缺乏监管,不像大型商业银行那样有一套完整的制度,这些基层的小行长权力特别大。他们

    热点 2021年9月10日
    1820
  • 我的武功太恐怖,会自己修炼 黎天

    东方玄幻入库:他的境界无上限 征服,眼底亿万星辰,破碎,世界壁垒虚空。万道争辉,在万世留下传承,泽被天下,于人间留下传说。旁人眼中的他,神秘无比,似乎永远没有极限。你将看到,…… 【我的武功太恐怖,会自己修炼】 穿越到异界的李易根骨太差,以至于他的功法看不过眼激活了系统,可以进入暴走状态,离家出走。 “你的铁布衫因为你的根骨很失望,暴…

    热点 2021年10月23日
    140
  • 新疆四地入选2020年全国儿童青少年近视防控试点县(市、区)和改革试验区

      近日,教育部发布《关于公布2020年全国儿童青少年近视防控试点县(市、区)和改革试验区遴选结果名单的通知》。经省级教育部门推荐、复核、教育部确认和公示,教育部认定并命名北京市西城区等58个地区为2020年全国儿童青少年近视防控试点县(市、区),天津市河北区等16个地区为2020年全国儿童青少年近视防控改革试验区。乌鲁木齐市达坂城区,伊犁哈萨克自治州奎屯市…

    教育 2021年10月19日
    400
  • 第五批国家级非遗名录推荐入选名单公示 新疆15项入选

    12月18日,文化和旅游部公示了第五批国家级非物质文化遗产代表性项目名录推荐项目名单,全国共计337项,其中新列入198项,扩展139项。新疆有15项入选,其中新入选6项。 此次评选结

    民生 2020年12月23日
    2450
  • 和群众“坐一条板凳”

      【观点声音】   板凳会”虽然形式简单,却是对党的群众工作优良传统的继承和发扬,彰显了党员干部的初心和使命。党员干部通过“板凳会”更能做好调查研究工作,更能了解到真实情况,听到群众的真心话。   高娃   据媒体报道,近日,乌鲁木齐市米东区石化片区佳瑞社区金御祥苑小区有了可喜变化:小区门口坑坑洼洼的路面被修整硬化了、原…

    新疆 2021年10月18日
    190

联系我们

侵权、纠错:server@wlmq.cc
商务、渠道:admin@wlmqw.com
工作时间:周一至周五,10:30-18:30,节假日休息