网络加密协议发现零日攻击安全漏洞

11月6日消息,据国外媒体报道,加密网页常用的TLS和SSL协议中的零日攻击安全漏洞已经
曝光。安全研究人员Marsh Ray和Steve Dispensa本周三披露了TSL(传输层安全协议)中安全漏洞。在此之前还披露了另一个类似的安全漏洞。在线零售商和银行一般都使用TLS及其前辈SSL(安全套接层协议)为网络交易提供安全。  这两个安全研究人员都在双因素身份识别公司PhoneFactor工作。Ray在博客中解释说,他最初是在8月份发行这个安全漏洞的并且在今年9月初向他的同事Dispensa演示了一个可用的利用这个安全漏洞的程序。  作者:天虹

时间: 2024-09-29 11:51:12

网络加密协议发现零日攻击安全漏洞的相关文章

微软发布应急补丁 修复IE零日攻击安全漏洞

3月30日消息,据国外媒体报道,微软宣布计划发布一个应急补丁,修复在IE浏览器中的一个零日攻击的安全漏洞. IE浏览器的一个累积的补丁(MS10-018)修复黑客在最近几个星期利用的在IE 6和IE 7浏览器中的安全漏洞.微软最新版本的IE 8浏览器不受这个安全漏洞的影响.微软在3月9日首次承认这是一个问题. 这个安全漏洞涉及到iepeers.dll动态链接库中一个安全漏洞,与处理经过"setAttribute()"函数的非法值有关.这些安全漏洞创造了向受害人PC放置恶意软件的途径,如

谷歌组建“零日攻击”团队封堵网络安全漏洞

硅谷网讯 今年早些时候,互联网上曝出一个影响范围巨大的"心脏流血"漏洞,据说该漏洞也是多年以来互联网上爆发的规模最大的一个漏洞. 谷歌(微博)现在推出了一项名为"零计划"(http://www.aliyun.com/zixun/aggregation/3022.html">Project Zero)的新举措,以确保隐蔽的互联网漏洞不会失控. 谷歌在其官方博客上宣布,零计划背后的团队汇集了公司众多优秀的安全研究人员.该计划的名称来源于"零日攻

IE发现新的零日攻击漏洞 用户可采取缓解措施

11月4日消息,微软发布警告称,黑客正在对IE一个新的零日攻击漏洞进行新一轮的有针对性恶意软件攻击.这个安全漏洞能够让黑客实施远程执行任意代码攻击和路过式下载攻击. 微软在安全公告中称,这个安全漏洞是由于IE浏览器中的一个非法的标记参考引起的.在某种情况下,在一个对象被删除之后仍然可以访问这个非法的标记参考.在一个特别策划的攻击中,黑客试图访问一个释放的对象,造成IE浏览器允许远程执行代码. 据赛门铁克的Vikram Thakur说,在混合攻击者可以利用这个IE漏洞.混合攻击把社会工程学和路过下

名叫“极光”的IE零日攻击漏洞

[51CTO.com独家观察]2010年1月12日,谷歌对外宣布称发现有大陆黑客正利用这种漏洞对自己和其它几家美国公司发起攻击,另外谷歌同时还表示攻击的目标还包括多位私人用户的Gmail邮箱.传闻攻击用到了IE的一个零日漏洞,此事甚至激起了Google退出中国的想法,于是有安全工程师戏称:一个IE 0day引发了中美关系紧张.随后微软起草了一份安全咨询报告,并发布了对Zero-day漏洞威胁的风险评估.零日公开 各厂商表态1月15日,McAfee表示自己早些时候便已经发现了这个叫"极光"

新兴网络黑市销售零日漏洞

多年以来,黑客们都在从互联网灰色市场上购买零日漏洞.如今一个新市场希望将这种数字军火贸易规范化,并通过暗网的匿名保护快速扩张. 上个月,暗网上出现了一个名为"真正交易"("therealdeal")的黑市,它的主要业务是向黑客兜售零日攻击手段.类似于丝绸之路(SilkRoad)及其大量拥趸,"真正交易"使用Tor匿名技术加密连接,交易则使用比特币,以隐藏买家.卖家.管理员的身份.目前市面上的其它网站只售卖基本的低级黑客工具以及泄露的财务信息,而&

微软 Word 曝零日攻击漏洞 涉及所有版本

凤凰科技讯 北京时间3月25日消息,据科技博客ZDNet报道,微软公司今天表示,安全人员在Word应用上发现了一处尚未封堵的零日攻击漏洞,该漏洞存在于所有版本的Word应用. 微软称,包括Windows.Mac等在内的所有版本Word应用上均存在该漏洞,而且SharePoint Server上的Word Viewer.Word Automation等相关服务也都受此影响,但目前黑客针对的攻击对象为Word 2010.通常来讲,如果黑客针对某一版本产品进行攻击,可能意味着他们已经获悉了哪个版本的产

安全专家称发现防护零日攻击新方法

据国外媒体报道,加利福尼亚大学戴维斯分校和英特尔公司的计算机安全实验室研究员,发现了一种可以对付零日攻击的新方法. 传统的防病毒软件可以检测到已知病毒,但是对新型的恶意软件却束手无策,尤其是对著名的零日攻击更加无计可施. 根据介绍,这项新技术主要涉及到记录网络上电脑中的可疑活动,以及与此同其他系统进行的匹配活动. "现在的问题是,我是否应该冒着可能失去业务的风险对网络关闭几个小时,而最后也许是虚惊一场;或者让网络继续运行并承受着受到病毒感染的风险?"一个参与此项计划的加州大学戴维斯分校

瑞数动态安全 - 零补丁、零规则 主动抵御未知零日攻击

越来越泛滥的零日攻击 在大多数网络安全从业者意识中,"零日攻击"往往是让人非常头痛的安全威胁.其高威胁性.突发性.高破坏性.大规模性的主要特点,让零日攻击能在网络安全地下黑市历时十多年都长盛不衰.近几年,零日漏洞的披露越来越多,影响面也越来越波及到各行各业,不仅仅是安全界,甚至也成为企业里的难题,究其原因,开源代码的不断扩散,被企业用于业务系统的开发,缩短项目周期,尽快将业务推向市场,是其根源之一. 这些开源组件中的代码被多种设备,多个系统复用,组件中一旦发现零日漏洞,产生的风险往往是

甲骨文11g数据库爆零日攻击 可完全攻破

一位知名的安全研究人员前日展示了如何利用零日攻击攻破甲骨文11g数据库的安全防护,并从获得完全的控制权. NGS咨询的研究员DavidLitchfield演示了黑客如何突破安全防御以特权接管甲骨文11g的完全控制权限,并阐述了如何绕过甲骨文标签安全设置对信息的强制访问控制权.与此同时,Litchfield也宣布,这是他在NGS任职的最后一天,他正在考虑将自己的研究重心转向计算机取证方面. 作为安全领域内的一名资深人士,Litchfield称:"当从听说了甲骨文的首席执行官埃里森吹嘘他的数据库'牢