北京時(shí)間9月14日, 谷歌發(fā)布了Chrome瀏覽器的93.0.4577.82桌面版本更新,著重修補(bǔ)了兩個(gè)被“在野”利用的Chrome零日漏洞CVE-2021-30632和CVE-2021-30633。這兩個(gè)被谷歌標(biāo)記為“高危”的漏洞可以使攻擊者完全控制上網(wǎng)用戶的電腦,建議用戶盡快更新升級(jí)。而這兩個(gè)漏洞,前360 CTO知名黑客MJ(鄭文彬)創(chuàng)立的賽博昆侖公司,早在今年四月份就提前精準(zhǔn)預(yù)測(cè)到,并為其產(chǎn)品用戶進(jìn)行了針對(duì)性的提前保護(hù)。
圖:谷歌Chrome瀏覽器官方發(fā)布公告
據(jù)安全專家分析,這兩個(gè)漏洞分別存在于Chrome瀏覽器的“V8”腳本引擎和索引數(shù)據(jù)庫(kù)API中,攻擊者結(jié)合這兩個(gè)漏洞,可以構(gòu)造一個(gè)被稱為“Full Chain”的完整攻擊鏈。當(dāng)用戶使用Chrome核的瀏覽器訪問(wèn)惡意網(wǎng)址,其中利用這兩個(gè)漏洞的代碼就能完全控制用戶的電腦。
通過(guò)這類高危零日漏洞進(jìn)行的攻擊,通常很難被安全軟件或解決方案捕獲,因此全球的安全研究員都在爭(zhēng)分奪秒,試圖在惡意攻擊者之前發(fā)現(xiàn)并修復(fù)、防御這些漏洞。這也是我們每天看到主流的操作系統(tǒng)、應(yīng)用軟件都要經(jīng)常打補(bǔ)丁、升級(jí)更新的原因。
在這些漏洞里,最危險(xiǎn)、影響力最大的就要數(shù)“在野”漏洞。
所謂的“在野”漏洞,就是當(dāng)惡意攻擊者比軟件廠商、第三方的安全研究人員更早地發(fā)現(xiàn)了漏洞,并利用這些漏洞對(duì)目標(biāo)的用戶進(jìn)行攻擊。
由于在彼時(shí),沒(méi)有人知道這個(gè)漏洞的情況,理論上來(lái)說(shuō),除非提前知道攻擊者使用的漏洞,沒(méi)有手段能夠100%防御這樣的攻擊,而一旦遭到零日漏洞這樣的高級(jí)攻擊手法,受害者往往會(huì)在瞬間丟失重要的數(shù)據(jù)資產(chǎn),或者導(dǎo)致其所在的內(nèi)部網(wǎng)絡(luò)遭到更進(jìn)一步的入侵。可以說(shuō),一旦你被“在野”漏洞盯上,基本上就逃脫不了“被黑”的結(jié)果。
而在今年,這種局面可能將會(huì)被改變。八月初,前360 CTO,知名黑客MJ(鄭文彬)創(chuàng)立的賽博昆侖公司,公開宣布旗下一款可以對(duì)零日漏洞,尤其是“在野”零日漏洞進(jìn)行精準(zhǔn)、提前防御的安全產(chǎn)品:洞見(jiàn)平臺(tái),宣稱通過(guò)其獨(dú)家的“漏洞預(yù)測(cè)”、“提前漏洞防御”技術(shù),可以早在“在野”漏洞被發(fā)現(xiàn)、被利用之前,就對(duì)用戶進(jìn)行精準(zhǔn)保護(hù),防患于未然。
據(jù)賽博昆侖CEO鄭文彬介紹,就在這次谷歌“全鏈”“在野”零日漏洞攻擊事件中, 旗下負(fù)責(zé)“漏洞預(yù)測(cè)”技術(shù)的昆侖實(shí)驗(yàn)室,就提前精確預(yù)測(cè)了鏈條中的關(guān)鍵漏洞:CVE-2021-30632,并提前近半年時(shí)間,也就是早在今年的四月份,就為其產(chǎn)品用戶進(jìn)行了針對(duì)性的提前保護(hù)。
“被昆侖實(shí)驗(yàn)室提前發(fā)現(xiàn)的漏洞CVE-2021-30632,屬于該攻擊鏈條中最初的、也是最核心的一環(huán),我們的防御產(chǎn)品結(jié)合云端的漏洞情報(bào)庫(kù),能為用戶及時(shí)切斷針對(duì)該漏洞的利用,就堵死了這個(gè)“在野”利用的攻擊”,鄭文彬分析道,他也提供了一些同這個(gè)漏洞相關(guān)的證明:
圖:谷歌官方CVE-2021-30632補(bǔ)丁代碼
圖:昆侖實(shí)驗(yàn)室研究員提前發(fā)現(xiàn)(4月20日)漏洞相關(guān)PoC代碼(處于安全考慮隱去關(guān)鍵部分)
“當(dāng)然,這個(gè)漏洞只是我們?yōu)榭蛻籼崆胺烙谋揭唤,恰好?ldquo;在野”的攻擊者用到,從而進(jìn)入公眾的視野,實(shí)際上我們一直在為客戶默默提供著,包括不同高危漏洞的提前保護(hù)等在內(nèi)的多種不同防御解決方案”,鄭文彬介紹道。
隨著數(shù)據(jù)安全、系統(tǒng)安全的重要性越來(lái)越凸顯,網(wǎng)絡(luò)安全攻防的重點(diǎn)和關(guān)鍵戰(zhàn)場(chǎng)也越來(lái)越向基于主機(jī)、針對(duì)漏洞的方向傾斜。
就在谷歌發(fā)布緊急安全升級(jí)的同一天,蘋果的iOS系統(tǒng)也被爆出多個(gè)高危的“在野”零日漏洞。通過(guò)這些漏洞,惡意的攻擊者僅須向目標(biāo)手機(jī)發(fā)送一條匿名短信,不需要被害者打開短信,其手機(jī)就會(huì)被完全控制,導(dǎo)致手機(jī)內(nèi)重要數(shù)據(jù)泄露、手機(jī)淪為攻擊者的“竊聽(tīng)器”、“定位器”。
據(jù)分析,自2021年初至今,全球已經(jīng)發(fā)生近百起使用不同的“在野”零日漏洞進(jìn)行的網(wǎng)絡(luò)攻擊, 涉及數(shù)十億臺(tái)終端設(shè)備、服務(wù)器和云計(jì)算網(wǎng)絡(luò)。網(wǎng)絡(luò)安全市場(chǎng)急需新型安全解決方案,為企業(yè)和用戶的核心資產(chǎn)、業(yè)務(wù)提供切實(shí)有效的保護(hù)能力。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會(huì)上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來(lái)實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專題論壇在沈陽(yáng)成功舉辦。