微软“紧急”修补 18 年前漏洞, NSA 阴谋论再度热议

系统
值得注意的是,微软本周爆出高危SSL/TLS漏洞之前,包括谷歌(SSL3.0“贵宾犬”漏洞,洞龄15年)苹果(gotofail安全漏洞)、OpenSSL(心脏出血漏洞,洞龄12年)、LibreSSL(伪随机数生成器缺陷)GnuTLS(应用于GNOME等处)以及Mozilla火狐浏览器的NSS漏洞今年先后爆出SSL/TLS安全协议漏洞,而且这些致命的漏洞无所不在,而且“洞龄”短则数年,长则十数年,潜伏之久令人发指。

[[122611]]

微软赶在本周二补丁日之前紧急发布了大量漏洞补丁,数量规模创下历史新高,其中一个高危漏洞(CVE-2014-6332)存在于IE浏览器的安全隧道(Schannel)层,也就是SSL和TLS安全协议的部署层,这个漏洞可以让攻击者远程完全控制主机并执行代码。

发现该漏洞的IBM X-Force团队主管Robert Freeman本周二在博客中指出,微软IE浏览器的SSL高危漏洞至少从windows 95开始就存在于微软的桌面操作系统中,“洞龄”迄今已经超过18年。

通过这种远程代码执行漏洞,黑客可以在目标主机中安装恶意软件,从事各种非法活动,例如键盘记录、屏幕摄录、信息窃取等。

值得注意的是,微软本周爆出高危SSL/TLS漏洞之前,包括谷歌(SSL3.0“贵宾犬”漏洞,洞龄15年)苹果(gotofail安全漏洞)、OpenSSL(心脏出血漏洞,洞龄12年)、LibreSSL(伪随机数生成器缺陷)GnuTLS(应用于GNOME等处)以及Mozilla火狐浏览器的NSS漏洞今年先后爆出SSL/TLS安全协议漏洞,而且这些致命的漏洞无所不在,而且“洞龄”短则数年,长则十数年,潜伏之久令人发指。

斯诺登曾指责NSA操控SSL/TLS标准,蓄意弱化安全协议标准,但NSA如何对互联网安全基础协议和标准进行渗透和操控?是否在SSL /TLS、802.11i、IPSec等基础安全协议和标准中留下“蓄意缺陷”,从而达到其大规模破解和监控的目的?这依然是业界不可言说的“阴谋论”。

其实早在心脏出血漏洞爆发时,Vox公司的Tim Lee就曾在博客中指出,OpenSSL的漏洞对NSA这样的情报部门来说更有价值,NSA与运营商和互联网服务商存在合作关系,可从互联网骨干网大规模解密OpenSSL加密的数据。

如果说Tim的阴谋论还仅仅是一种假设,那么,随着苹果、谷歌、火狐以及微软等用户基数极为庞大的“棱镜”公司的HTTPS基础安全机制接连发现致命漏洞,任何一位神志清醒的专家都不会认为这是巧合。

正如开源大师,FreeBSD作者Poul-Henning Kamp在Twitter上怒不可遏的控诉:

一个SSL漏洞是错误,两个是事故,三个是蓄意破坏。

苹果、OpenSSL+微软=一屋子的NSA
 

责任编辑:chenqingxiang 来源: oschina
相关推荐

2021-03-04 14:40:11

人工智能AI阴谋论

2015-07-21 15:53:09

1元精选阴谋论

2015-06-30 11:31:09

酷派360乐视

2018-01-31 09:55:28

Docker公司微服务预言

2015-03-10 11:45:59

2021-10-15 11:33:11

苹果 iOS 漏洞

2011-05-13 10:19:03

2010-02-12 09:20:33

Windows 7系统漏洞

2013-10-28 10:42:45

2009-04-14 08:29:17

NSAWindows Mob移动OS

2009-10-10 13:57:42

微软windows 7补丁

2020-04-21 10:06:21

比尔盖茨新冠预言

2020-12-29 11:03:51

5G网络运营商

2021-09-26 10:24:42

Windows0 day漏洞

2010-08-09 09:09:18

2021-07-14 14:55:06

CISAPrintNightm漏洞

2020-07-02 10:03:37

漏洞安全微软

2012-04-28 14:00:06

2015-11-11 09:33:44

2011-12-13 10:32:08

微软windows 8平板电脑
点赞
收藏

51CTO技术栈公众号