不怕软件有漏洞就怕有人钻洞

  近日,笔者看到网络上有大量爆料,称">搜狗浏览器存在“缓冲区溢出漏洞”,说什么电脑就成肉鸡了,怪吓人的。肉鸡不肉鸡我倒不知道,作为一名IT行业的资深人士,我认为不怕软件有漏,就怕有人钻洞。

  其实,软件本身就是缺陷的艺术,它是人编出来的,那数以千万行的代码中不可避免会隐藏着一些bug。就连微软这样全球顶级的软件公司,它发布的产品同样也存在太多的漏洞,以至于需要通过经常性的打补丁来填补这些漏洞。

  Chrome沙盒被攻破视频

  浏览器也是一种软件,当然也会有漏洞。搜狗浏览器有漏洞,360浏览器也有漏洞,就连技术最领先的谷歌Chrome浏览器,同样也有漏洞。前不久,法国安全研究机构VUPEN就声称攻破了牢不可破的Chrome浏览器,Chrome浏览器中包括ASLR(输出地址随机化)、DEP(硬件执行保护)、沙箱(不通过任何windows内核漏洞)在内的所有安全特性均被攻破,攻破后攻击者将可以执行任意代码。VUPEN还在Youtube上展示了一段Chrome浏览器被攻破后的视频,惹得谷歌工程师跳出来说那不过是Adobe公司的Flash中的臭虫造成的,还引发了一场“口水战”。

  由此可见,软件中的漏洞是客观存在的,它不以我们的意志为转移的。那么,既然我们平时使用的各种软件都存在各种各样的漏洞,为什么大部分却没有造成危害呢?一个很大的原因就是“盗亦有道”,黑道也有黑道的规矩。就像这次VUPEN虽然号称攻克了Chrome浏览器,却始终没有公开漏洞的细节。而像谷歌这样的大公司发现了漏洞之后会进行保密处理,对外只公布软件中的bug号码,而不会公布bug的具体内容,以防被黑客利用。退一步说,即使是黑客,大多数也很自律,他们只是以找到软件中的漏洞作为乐趣,而不会对外公开漏洞的具体细节,更不会利用漏洞发起攻击。

  问题在于,黑道也怕不守规矩的黑道,如果再摊上内部反水的,那就更厉害了。令谷歌没有想到的是,前不久有一位掌握了Chrome部分漏洞的工程师竟然不吃谷歌的饕餮大餐,跳槽到了以“安全”著称某公司。该公司一向喜欢指责其他公司“不安全”,产品存在“安全漏洞”。也真是奇怪,这位大侠去了该公司之后,成长迅速的搜狗浏览器就被人盯上了,各种漏洞就出现了。在这里,我想问这位大侠一句:所谓的“安全浏览器”有没有漏洞?

  至于我等老百姓,完全可以无视此等不靠谱的漏洞,该吃吃,该喝喝,该玩玩去。

时间: 2024-09-20 05:33:06

不怕软件有漏洞就怕有人钻洞的相关文章

因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金

本文讲的是因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金, ImageMagick是一个免费开源的图像处理软件,用于创建.编辑.合成图片,可运行于大多数的操作系统,支持PHP.Ruby.NodeJS和Python等多种语言,使用非常广泛. 然而俄罗斯的安全研究员Andrew Leonov却在其上发现了一个漏洞,编号为CVE-2016-3714.ImageMagick处理的图片中可携带攻击代码,远程攻击者可利用它执行任意代码,甚至是控制服务器.2016年5月,该漏洞被公之于众,然而厄

黑客新技术在ATM钻洞就让其吐钱

卡巴斯基研究员Igor Soumenkov本周在安全分析师峰会(Security Analyst Summit)上介绍了一种新型攻击:黑客结合低端数字技术和非常精准的物理渗透技术让ATM吐钱.这类攻击去年首次浮出水面,当时欧洲和俄罗斯几家银行发现,ATM其中一侧被钻出一个洞. 在ATM上钻出一个洞能做些什么?卡巴斯基专家调查后并未发现恶意软件,那怎么能解释ATM吐钱的原因? 经过仔细查看后,研究人员发现一个4cm的洞口,顿时茅塞顿开.正是这个洞的位置对解开攻击之谜至关重要. ATM窃贼在ATM

首个苹果勒索软件有漏洞 无需付赎金也可解密文件

被KeRanger加密了计算机文件的用户可以松口气了,无需给勒索者付赎金,也可以恢复文件了. 前两天在苹果系统的流行下载软件Transmission客户端中发现的勒索软件KeRanger,是基于另一个专门针对Linux服务器的勒索软件Linux.Encoder改装的.而后者,则在加密过程中存在漏洞. 比特梵德的研究人员通过分析发现,KeRanger与Linux.Encoder的第四个版本除了相关编译器和定位苹果备份软件的路径不同以外,代码中所有的其他功能完成一样,因此,存在的漏洞也一样. 据Tr

不要和陌生人说话 雅虎的通软件有漏洞

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 雅虎通(Yahoo Messenger)软件用户注意了,不要和陌生人聊天,特别是和陌生人进行视频聊天,刚刚从theregister网站看到一条消息,该消息称雅虎公司的即时通讯软件Yahoo Messenger存在一个严重的漏洞,该漏洞和ahoo Messenger的视频聊天功能有关,被称为"零日漏洞"(zero-day).

美国安全组织称SAP软件存在漏洞

美国计算机应急响应小组警告称,黑客正在利用德国软件供应商SAP业务软件中的安全漏洞,至少36家企业存在被攻击风险.SAP公司在一份邮件声明中解释称,该漏洞在2010年的软件更新中被修复,2010年后发布的所有SAP应用程序不再存在该隐患.然而,如果企业运行过时或配置错误的SAP软件,将存在安全威胁. 美国计算机应急响应小组表示,黑客利用漏洞可完全进入受感染的SAP平台,控制系统中的业务信息和进程,并可能访问其他系统.US-CERT敦促管理员扫描系统中的漏洞,并尽快修理恢复. 该安全风险由专门防护

360安全卫士4.0:常用软件漏洞第一时间堵

360安全卫士如今已经成为装机必备安全软件,它免费.小巧,而且功能和查杀效果在同类软件中是最强大的.尽管已经出类拔萃,但"只有更好,没有最好",360安全卫士发布了全新的4.0版本,完成了自身的又一次革命性蜕变. 新版360安全卫士又带给我们什么样的惊喜呢?到底效果如何? 常用软件漏洞第一时间堵上 最近一段时间以来,大家最常使用的暴风影音.联众游戏客户端.RealPlayer等软件相继被发现有木马病毒程序利用其漏洞,大肆感染用户电脑,让很多用户苦不堪言.但很多用户对此并不知情,甚至这些

绿坝软件存安全漏洞 5000万用户可能成为黑客的肉鸡

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 6月12日下午消息,本土安全厂商江民今日表示,绿坝-花季护航软件存在漏洞,黑客如果利用该漏洞,可以利用网页挂马方式传播病毒. 江民表示,6月12日国外研究人员发现"绿坝--花季护航"软件存在安全漏洞,上述研究人员发现,该漏洞存在于"绿坝"过滤功能中,在开启绿坝过滤功能后,打开经过特别设置的网页,可以导致

黑客利用金山WPS软件漏洞攻击政府部门

中介交易 SEO诊断 淘宝客 云主机 技术大厅 随着斯诺登曝光美国棱镜门,各方对于信息安全的重视程度大大提高,各国政府对于互相进行网络攻击的指责也甚嚣尘上.就在近日,一个专门针对中国政府部门的APT(定向攻击)被公开曝光,黑客利用金山WPS办公软件0day漏洞对中国政府部门进行钓鱼邮件定向攻击. 什么是APT攻击和0day漏洞 APT是近年来流行的针对政府和大型公司的一种高级攻击手段,具体含义是:针对特定目标的持续性攻击,具有针对性强.隐蔽性强.持续时间长等特点.而0day漏洞,是指已经外界发现

JBoss漏洞易于传播勒索软件,未打补丁的系统看着办

目前多达320万计算机运行着未打补丁版本的JBoss中间件软件,这意味着这些计算机很容易被用于传播SamSam和其他勒索软件,这也突出了一直存在的未打补丁系统的风险问题.在扫描包含JBoss漏洞的受感染机器后,思科Talos发现超过2100个后门程序被安装在关联近1600个IP地址的系统中. Talos报告称,未打补丁的JBoss正在被一个或多个webshell利用,webshell是可上传到Web服务器并对该服务器进行远程管理的脚本.该报告表明,企业需要对修复生产软件非常警惕. "在这个过程中