周一,BeyondTrust的最新报告显示,90%的 Windows 7 漏洞可以通过配置权限解决,而不是补丁,在低版本Windows中,也有一半以上的漏洞可以通过类似手段消除。
他们分析了微软75个安全公告中的200多个漏洞,作出如上结论。通常,Windows 7 用户会在管理员权限下工作,标准用户无法安装应用软件,即使是 UAC的带来也难以解决难用的问题。
BeyondTrust’s 2009 Microsoft Vulnerability Analysis (PDF) 下载:
http://www.beyondtrust.com/downloads/whitepapers/documents/wp039_BeyondTrust_2009_Microsoft_Vulnerability_Analysis.pdf
微软为 Windows 7 辩护: ASLR和DEP不是废柴一条
温哥华Pwn2Own黑客大赛让微软丢尽脸面,不但IE8浏览器被黑,而且黑客还成功利用Firefox、IE等浏览器绕过了 Windows 7 系统的 ASLR技术(地址空间布局随机化)和DEP(数据执行保护)。
微软安全专家,IE小组经理 Peter Vreugdenhil 今天出面为自己辩护,称这两个操作系统安全技术被绕过并不代表 Windows 7 不安全。
他谈到了ASLR技术的应用场合,ASLR技术的目的是阻止了黑客利用代码访问内存地址,DEP则可以阻止恶意代码在内存中的运行,这两者可以增加黑客攻击系统的时间,是“非常有效的保护机制”。
Pwn2Own 最新战况:Windows 7的DEP和ALSR被绕过
温哥华Pwn2Own黑客挑战赛又有猛料爆出,德国黑客“Nils”迅速攻破了 Mozilla Firefox 在64位系统上的运作,并实现了对64位 Windows 7 的完全控制。
更为令人震惊的是,他利用一些技巧绕过了 Windows 7 的DEP和ASLR,加载了目标计算机上的可执行文件,同时还计划攻击苹果的Safari浏览器,可惜查理·米勒提前拿下了该项目,因此他没有得到奖金。
ASLR技术+ DEP被视作Windows最新版本重要的安全路障,但比赛结果显示,只要有足够的动力(奖金?)和资源,技术高超的黑客可以绕过这些限制。
按照 比赛规则,他不能透露有关Firefox的漏洞细节,TippingPoint拥有该信息的独占权。
本文链接地址:
分类:
标签:
