信息安全是网络世界中,一个永远无法回避的话题。一些敏感重要数据的泄露,将会直接造成巨大的经济损失。一些利用价值较高的零日漏洞,被一些黑客放在深网论坛上,以比特币的交易形式公开叫卖。然而,一旦这些漏洞被供应商修复,很少会被披露出来。
在过去的一年里,统计共有超过6400个CVE编码的常见漏洞被披露。以下我将列举出2016年十大较为知名的安全漏洞:
1. Dirty Cow (脏牛)(CVE-2016-5195)
脏牛漏洞最初是由 Phil Oester 发现的,Dirty Cow 是一个内核级的漏洞,它允许任何未授权现有用户,将其权限提权为 root。 Root 是任何 UNIX 或 LINUX 系统的最高权限,因此一旦攻击者成功利用该漏洞,将直接可以访问到目标系统的所有文件。 COW(写入时更改)是 Linux 用来减少内存对象重复的技术。通过利用竞争条件,低权限用户可以修改只读对象,这在常规情况下是不可能发生的。如果你是系统管理员,则可能需要通过更新 Linux 服务器的内核,来修复该漏洞。
2. PHPMailer RCE (CVE-2016-10033, CVE-2016-10045)
PHPMailer 是 PHP 中,使用最广泛的电子邮件发送库之一。独立研究人员 Dawid Golunski 发现了,其存在远程代码执行漏洞。任何攻击者都可以使用该漏洞,在 Web 服务器上执行 shell 命令。导致这种情况的发生,是因为电子邮件地址头字段“From:”可以由用户任意输入设置,但却没有“sender”属性。因此,如果用户在“From:”中设置了 shell 命令,那么它将导致 RCE(远程代码执行)。因此,如果你当前使用的 PHPMailer版本小于5.2.18,那么请尽快将它升级到最新版本。
3. ImageTragick (CVE-2016-3714)
ImageTragick 命令执行漏洞,被认为是2016年最具影响力的漏洞之一,它最初是由 Nikolay Ermishki 发现的。命令执行漏洞是出在ImageMagick对https形式的文件处理的过程中。ImageMagick内置了非常多的图像处理库,对于这些图像处理库,ImageMagick给他起了个名字叫做“Delegate”(委托),每个Delegate对应一种格式的文件,然后通过系统的system()命令来调用外部的程序对文件进行处理,从而造成了命令执行漏洞的产生。这个漏洞被大量利用,许多组织网站被发现,都极易受ImageTragick漏洞的攻击,如Hackerone的公开披露等。
4. DROWN(溺亡) (CVE-2016-0800)
DROWN(解密RSA使用过时和弱化的eNcryption)利用了SSLv2中的缺陷,允许攻击者解密使用TLS或SSL的通信。它被归类为跨协议攻击。 如果在受害者的服务器上启用了SSLv2,则极易受到DROWN攻击。互联网中有大约1100万站点或者服务受到此漏洞影响。这是 OpenSSL 给出的建议。
5. Apple OS X 和 iOS 远程代码执行(CVE-2016-4631)
图像,我们都知道本身它是无害的。然而,这个漏洞就是利用了这样一张看似无害的,却是由攻击者恶意制作出来的图像进行攻击的。这个漏洞被编号为 CVE-2016-4631,是由安全研究员Tyler Bohan从 Talos Security 发现的。这个严重的安全漏洞(CVE-2016-4631)存在于iOS的ImageIO框架中。ImageIO框架其本质是一个应用程序编程接口(API),它可以为几乎所有的苹果操作系统处理各种图片数据,包括Mac OS X,watchOS,以及tvOS等苹果设备的操作平台。标签图像文件格式(TIFF)图片,可以被用来创建基于堆的缓冲区溢出,最终导致远程代码执行。
6. Chrome OS 持久代码执行 (CVE-2016-5180)
Google 在其版本为 53.0.2785.143 m 的 Chrome 更新中,发布了 Chrome OS 的安全修复补丁。同时向发现并提交该漏洞的匿名安全研究员,支付了100,000美元的奖金。Google 表示,“这是一个漏洞利用链,在客户端模式下跨越重启,并通过所提供的网页来获得代码执行权限。预计在不久以后,我们还将增加一些强化措施,来更好的防止该类漏洞发生。”
7. MS16-032
如果 Windows 辅助登录服务,无法正确管理内存中的请求句柄,则可能造成本地提权漏洞。该漏洞是由 James Forshaw 发现的。简单来说,这个漏洞允许任何人泄漏一个 handle 句柄,从一个特权进程转换为一个较低权限的进程。这个漏洞可以说是一个 Windows 高版本通杀型漏洞,从 Windows 7 到 Windows 10,包括 Windows Server 2008-2012 中,均发现了该漏洞。
8. Firefox SVG Animation 远程执行代码(CVE-2016-9079)
该漏洞是一个存在于SVG Animation模块中的释放后重用(UAF)漏洞,当用户使用Firefox浏览包含恶意Javascript和SVG代码的页面时,会允许攻击者在用户的机器上远程执行代码。攻击者利用该漏洞,对Windows用户的Firefox和Tor浏览器进行了针对性的攻击,并可能获取到了部分匿名用户的真实IP。分析认为,一些情报机构可能利用了该漏洞,来收集个人信息。受该漏洞影响的平台包括Windows,Mac OS以及Linux。请使用Firefox浏览器的用户及时升级到最新版本。
9. Adobe Flash 远程代码执行 (CVE-2016-7892)
Adobe Flash 的漏洞历史,可谓由来已久。仅在这个月 Adobe 就修补了31个安全漏洞。其中最重要的就是关于 use-after-free 漏洞的修复补丁。Adobe 已知悉 CVE-2016-7892 漏洞被野外利用,但案例相对有限,其主要攻击 Windows 平台上运行 32 位 Internet Explore 浏览器的用户。
10.赛门铁克/诺顿反病毒引擎远程Heap/Pool内存损坏漏洞(CVE-2016-2208)
谷歌的 Project Zero 团队,发现了赛门铁克/诺顿反病毒引擎中,存在远程Heap/Pool内存损坏漏洞。利用该漏洞,攻击者可以执行恶意攻击代码,并完全控制目标系统。通过使用赛门铁克反病毒引擎,向用户发送电子邮件或链接,就可以触发该漏洞,并导致内存损坏,Windows系统蓝屏。在Linux、Mac和UNIX平台上,攻击者可利用该漏洞以root权限在Symantec或Norton进程中导致远程堆溢出。供应商在一个月内,发布了该漏洞的修复补丁。