蘋果推出賞金計劃,安全專家嫌蘋果太摳,竟把漏洞賣給第三方買家
漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。是受限制的計算機、組件、應用程序或其他聯機資源的無意中留下的不受保護的入口點。
漏洞問題是與時間緊密相關的。一個系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來,這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟體修補,或在以後發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時,也會引入一些新的漏洞和錯誤。因而隨著時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題也會長期存在。
此前一家名為Zerodium的安全公司就開出過最高100萬美元的價碼收購iOS的安全漏洞,這遠比蘋果公司開出的價碼更加誘人。不過Zerodium除了收購漏洞外,也公開出售這些漏洞,客戶每年支付20萬美元即可任意使用該公司已經搜集到的漏洞。
在去年的黑帽大會上,蘋果公司推出了一項新的賞金計劃,明碼實價收購Bug以及安全漏洞。從蘋果公司開出的價目表來看,如果能在安全引導啟動環節發現漏洞,那麼獎金將高達20萬美元。
微軟和谷歌等科技公司此前也都推出了類似的獎勵措施,鼓勵開發者幫助公司查找產品漏洞。不過據Motherboard最新報道,目前絕大多數受邀的安全專家都表示他們沒有將漏洞賣給蘋果公司,因為蘋果公司出價太低了,而第三方買家的出價要比蘋果高得多。
注入漏洞是最危險的安全漏洞之一。在應用程序將不可信的數據發送給解釋器時,就有可能產生注入漏洞。這種漏洞很普遍,會影響到大量方案。最普遍的注入漏洞會影響到SQL、LDAP、XPath、XML解析器和程序參數。
其實,通過分析代碼是可以發現注入漏洞的,但是,如果已經將系統部署到了生產環境中了,在測試期間就很難發現這些漏洞。利用劫持漏洞的網路攻擊帶來的後果可能有:敏感數據被泄露、拒絕服務等。攻擊者可以運行劫持攻擊,從而完全破壞目標系統,並獲得其控制權。
注入漏洞可以影響多種軟體,其影響依賴於有漏洞的應用程序的傳播範圍或傳播水平。注入漏洞可能帶來的一個典型影響就是Bash Bug漏洞。紅帽子的安全團隊在Linux 中的 Bash shell 中發現了一個危險的安全漏洞「Bash Bug」。對於用戶的正常訪問,該漏洞允許攻擊者的代碼如同在外殼 中一樣被執行,這就為各種各樣的攻擊打開了方便之門。
這種類型的漏洞可能帶來大規模影響,例如,物聯網設備(例如,智能儀錶,路由器,網路攝像機等設備)就有可能遭受這種漏洞的威脅。
TAG:數碼搬運工 |
※海賊王:黑鬍子老巢確定,賞金也被曝光,手下多出2個能力者
※海賊王:如果海軍也有賞金的話,赤犬只能排第二,第一從未出手!
※誰出賣了薩達姆?他最終有沒有拿到賞金?
※白帽黑客們都把他們的漏洞賞金花在了哪?
※惠普發布bug賞金計劃尋找印表機漏洞,誰黑了它,就給誰一萬美金
※四皇團最慘副皇出現了,賞金接近黑鬍子,誰知卻被路飛兩拳搞定!
※補刀過多也會有賞金,玩家瘋狂吐槽,LOL設計師卻這樣回應!
※海賊王:江郎才盡不存在,細節炸裂,連飯票和賞金都是戲
※如果海賊全被抓光,那世界政府支付的起賞金
※為五千萬賞金,本拉登私人醫生出賣了他,最後這筆錢有派給醫生嗎
※黑鬍子賞金很高,又是新晉四皇,他靠的只是雙果實嗎?
※海賊王中唯一能衡量戰力的設定,比賞金更靠譜,卻被尾田遺棄
※他因賞金出賣此人,結果卻被判入獄,他表示很開心,並且很滿足
※美導彈總師稱「出門購物」 結果卻溜到敵國服務 不要一文賞金
※海賊王:又一位超人系果實覺醒,賞金是卡二兩倍還高
※海賊王中所有人都有賞金,為何鷹眼沒有?五老星:誰不想活了?
※親手斃掉卡扎菲的叛徒,高額賞金沒有拿到不說,還可能會連累家人
※若狗狗變成賞金獵人,二哈竟是團隊擔當!秋田是來打醬油的嘛?
※海賊王:紅髮的賞金不算啥,看到他的賞金,整個四皇都嫉妒!
※海賊王:草帽團第一個果實覺醒能力者,卻是最弱的,懸賞金額墊底