首页 > 新闻 > IT与互联网 >

2014年互联网十大安全漏洞及思考

2015-01-08 10:00:44   作者:   来源:CTI论坛   评论:0  点击:


  5、BadUSB

  【CVE编号】
  无

  【漏洞发现时间】
  2014年7月

  【漏洞描述】
  一个BADUSB设备可以模仿登录用户的键盘或发出命令,例如exfiltrate文件或安装恶意软件。这样的恶意软件,反过来,可以感染的计算机连接的其他USB设备控制器芯片。该设备还可以欺骗网卡和更改计算机的DNS设置将流量重定向。

  【漏洞危害】
  BadUSB最大危险之处在于很难被查觉,哪怕是防病毒软件也不能发现它。

  6、IE通杀代码执行漏洞

  【CVE编号】
  CVE-2014-6332

  【漏洞发现时间】
  2014年11月

  【漏洞描述】
  Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本在实现上存在Windows OLE自动化数组远程代码执行漏洞,远程攻击者利用此漏洞通过构造的网站执行任意代码。

  【漏洞危害】
  对于黑客,他们通过网站挂马,可以直接批量控制中马用户的计算机,不仅可以盗取各类账号(邮箱、游戏、网络支付),还可以进行交易劫持等其他利益用途。

  7、Microsoft Windows全版本提权漏洞

  【CVE编号】
  CVE-2014-4113

  【漏洞发现时间】
  2014年10月

  【漏洞描述】
  如果攻击者诱使用户打开特制文档或访问包含嵌入 TrueType 字体的不受信任的网站,则其中较为严重的漏洞可能允许远程执行代码。但是在所有情况下,攻击者无法强制用户执行这些操作。相反,攻击者必须说服用户这样做,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接。

  【漏洞危害】
  以普通用户权限运行漏洞利用程序成功后,从普通用户权限提升到了系统system最高权限。

分享到: 收藏

专题