某安全浏览器竟然也被查出高危漏洞?开源安全问题不容忽视

分析报告http://hn.cvecn.com/detail.php?md5=429824f12a56b25c2286404a7eef5a14

随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。

开源安全的特点:

1.     由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用

2.     开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。

3.     在软件开发和验收过程中,人们往往无法准确判断软件里包含哪些开源组件,是否存在严重安全隐患。

中国开源安全联盟(www.cvecn.com)部分的解决了这些开源漏洞的定位问题。联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll,dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所和知识产权海关同样的分析技术。

在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。

CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化,以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系,而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。

时间: 2024-10-09 14:13:00

某安全浏览器竟然也被查出高危漏洞?开源安全问题不容忽视的相关文章

IE浏览器远程代码执行高危漏洞(CVE-2019-1367)

IE浏览器远程代码执行高危漏洞(CVE-2019-1367)加固遇到的问题 一.背景介绍 Internet Explorer,是微软公司推出的一款网页浏览器.用户量极大.9月23日微软紧急发布安全更新,修复了一个影响IE浏览器的远程代码执行漏洞.由谷歌威胁分析小组发现此漏洞,据称该漏洞已遭在野利用. 二.漏洞描述 此漏洞是由InternetExplorer脚本引擎中处理内存对象的方式中的内存损坏引起的.要利用此漏洞,攻击者必须引导用户打开已经托管漏洞的恶意网站. 利用此漏洞可以导致攻击者获得用户

Struts2应用框架出现一个高危漏洞

在jsp商城开发中通过采用JavaServlet/JSP技术,实现了基于Java EE Web应用的MVC设计模式的应用框架,是MVC经典设计模式中的一个经典产品,也是国际上应用最广泛的Web应用框架之一.java商城开发中的网上银行.政府网站.主要门户网站都大量使用Struts. 近日,Apache Struts2发布漏洞公告,声称Struts2应用框架出现一个高危漏洞.同时发布的,还有漏洞补丁包(最新版本为:2.3.15.1)和黑客攻击尝试验证代码. 经国内网站安全服务商SCANV.COM确

Windows应急响应和系统加固(6)——Windows历年高危漏洞介绍和分析

Windows历年高危漏洞介绍和分析 一.漏洞介绍: 1.漏洞: <1>.漏洞:是影响网络安全的重要因素: <2>.漏洞利用:成为恶意攻击的最常用手段: <3>.漏洞攻击:产业化.低成本化.手段多样化.低门槛趋势: <4>.信息化时代:无论个人/企业,都面临严峻的漏洞威胁: <5>.Windows.Office.IE.Edge.Flash等高危漏洞频繁曝光. 2.Windows漏洞: <1>.MS08-067 RCE漏洞: <2

IIS曝高危漏洞 安全狗发布完美修复方案

IIS曝高危漏洞,安全狗紧急响应,第一时间更新防护规则,以防御该漏洞攻击,为服务器和网站用户提供实时保护. 在微软发布的2015年4月安全补丁中,修复了HTTP.sys 中一处允许远程执行代码漏洞(CVE-2015-1635).而这个高危漏洞也掀起了网络世界的攻击风暴.据悉,该漏洞利用代码已在国外技术网站Pastebin上公开,黑客只要发送恶意数据包直打安装IIS的服务器,就可导致系统蓝屏崩溃. 这个安全漏洞对服务器系统产生的影响不小,所有安装了IIS 6.0以上版本的Windows Serve

据说struts2又出高危漏洞

无意间从blog.trtos.com和一些知名安全平台里看到了别人分享的struts2高危漏洞相关信息,甚是惊讶,心想:struts2框架是要被例如web应用黑名单的节奏啊,漏洞频出,一出就是高危.简直了,不过据了解该漏洞比较难以利用,原因是大部分网站没有使用存在这个漏洞struts2的插件,所以攻击者即使知道了怎么攻击,但是没有攻击对象就很没意思了. 下面是漏洞文章: http://blog.trtos.com/?id=822

黄聪:PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞

版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明: 可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞. 使用方法: 将waf.php传到要包含的文件的目录 在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码就可以做到页面防注入.跨站 复制代码 require_once('waf.php'); 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php,来调用本代码.常用php系统添加文件 PHPC

“织梦”CMS注入高危漏洞情况

"织梦"CMS注入高危漏洞情况 作者:    时间:2014-04-17   "织梦"CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称"DEDE内容管理系统",在国内应用较为广泛.2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞.受漏洞影响的织梦CMS 版本包括V 5.7 SP1及以下版本.至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播.攻击者可利用

【高危】Strurs2又现高危漏洞(附Poc&Exp)

话说今天早上,一个名为str2-045的漏洞成了大家的讨论焦点,那么这个str2-045到底是个什么鬼? 这个漏洞的全名啊,叫做:基于 Jakarta plugin插件的Struts远程代码执行漏洞.根据官方评价,这个漏洞属于高危漏洞,他的漏洞编号是:CVE-2017-5638 那这个漏洞到底是怎么一回事呢? 恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令. 这个漏洞的利用,是有条件滴!这个漏洞需要通过Jakarta 文件上传插件实现远程

3月第2周网络安全报告:高危漏洞数量涨幅超126%

IDC评述网(idcps.com)03月23日报道:根据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据得悉,在3月第2周(2016-03-07至2016-03-13)期间,我国互联网网络安全指数整体评价为中. 下面,请与IDC评述网一同关注在2016年3月07日至2016年3月13日期间,我国互联网网络安全状况: (图1)3月第2周网络安全基本态势图 观察图1,在2016年3月第2周,我国互联网网络安全指数整体评价为中.其中,境内感染病毒的主机数量升至80.4万个,环比