CIA泄漏后供应商安全保证值多少钱?
专家说,了解安全意识的关键
微软拉动拙劣的WPD驱动程序
与西门子的TFL合作伙伴改革连通汽车的交通网络
恶意上传允许劫持WhatsApp和电报帐户
NASA测试MARS的可折叠,机器人侦察兵
零售法的变化如何影响客户体验
微软接管了Github,因为它扩展了其开源计划
随着CIO与数字技术战略的斗争,IT支出达到10年高
OFCOM提出支持宽带投资的监管变更
抓取概述了网络安全的方法
IBM的新程序包括一个50态量子计算机
公司需要适应千禧一代的新通信需求
警方逮捕人涉嫌建设百万路由器德国僵尸网络
Twitter Counter黑客:数百名高调推特账户被劫持
供应短缺继续枯萎的emea-宽的服务器市场,Gartner数据显示
宾夕法尼亚州Sues IBM陷入困境$ 110M升级
PG&E部署其第一台TESLA PowerPack电池存储站
安全研究人员发现第四个CPU缺陷
在5G之前,一些移动用户可能会得到近5G
要惩罚赛门铁克,谷歌可能会使三分之一的网络SSL证书不信任
布伦特理事会租户接收全纤维宽带服务
英格兰和威尔士蟋蟀委员会改善球员的医疗数据
苹果在传统市场失去了地面:教育
芬兰的研发支出在丢失十年后正在恢复
AWS如何在海湾保持竞争对手
放松:这款手机测量血压
只需在150个技术专业人才的了解中
英国呼吁使用欧盟新的数据共享模型
Google Play面向Cat和鼠标游戏与Sneaky Android Malware
招聘人员:需要编码人才;程度可选
BDRIVE使用指纹和碎片保护云中的文件
NHS信任转储为Nutanix超级融合的EMC San
特斯拉成为夏威夷考艾岛的电池储存供应商
谷歌宣布三个新的云层,合同折扣
边缘的智能将看到从云迁移的工作负载
莫斯科的智能技术包括160,000个户外摄像头
澳大利亚初创公司团队努力保持风力涡轮机嗡嗡声
Morgan Stanley使用Amazon Alexa来告知客户
三分之一的人会从谷歌或亚马逊购买保险
VPN黑客可以致命,警告安全专家
ICO可以在Facebook探测中使用新的GDPR权力
联邦调查局扩展Facebook数据共享探针
Cunnington说,GDS正在努力民主化数字化数字化
巨大的新加坡数据突破表演需要新的方法
笔测试人员在银行网络安全中找到了缺点
IBM结果留下了Watson思维
工业赌注固定无线访问首次5G部署
新加坡公司转向区块链,以改善粮食安全
Nordic Healthcare Services提供商提供IT基础架构
您的位置:首页 >产品 > 智能硬件 >

CIA泄漏后供应商安全保证值多少钱?

2021-08-08 17:44:02 [来源]:

在最近关于美国中央智能局的Cyber​​espionage Arsenal的启示后,软件供应商重申了他们及时修复漏洞的承诺,并告诉用户原子能机构泄露文件中描述的许多缺陷已得到修复。

虽然这些保证从公共关系的角度来看,但他们无法真正改变任何东西,特别是对于国家赞助黑客目标的公司和用户来说。他们使用的软件并不不太安全,不太受到保护,而不是在上周二发布了8,700加中的CIA文件之前。

泄露的文件描述了CIA的CYBER配置用于破解所有主要桌面和移动操作系统的恶意软件工具和利用,以及智能电视等网络装备和嵌入式设备。Done Don“T包含这些工具的实际代码,并且一些据称更多的讲述描述已被删除。

Wikileaks创始人Julian Assange表示,他的组织将与软件供应商共享未发表的详细信息,以便修补漏洞。但即使维基解程所做的,即使是意识到该信息只代表了一个时间的快照。

文档中最新的日期字符串是2016年初从2016年初开始,可能指示文件从中央情报局系统复制文件时。一些利用列表建议相同。

例如,描述Apple iOS的漏洞利用的页面包含一个由iOS版安排的表。该表停止在iOS 9.2,2015年12月发布。IOS 9.3的下一个重要更新于2016年3月下旬发布。

[进一步阅读:7 Wi-Fi漏洞超出密码弱密码]

从U.K.“S GCHQ获得的Docened Nandao的一个内核exproit,被列为iOS版本8.0至9.2。这是否意味着它不会在iOS 9.3或更新的操作系统版本上工作?不必要。桌子更有可能在9.2处停止,因为当复制CIA文件时,这是最新版本的iOS。

此外,如果没有额外的细节,它可能会讲述这一点和其他利用是否已经修补了这一点,它非常不太可能。“Nandao”的唯一描述是它是一个堆溢出内存损坏漏洞,并且没有迹象表明内核组件它实际上位于其中。

“除非Apple获得了完整的细节和/或漏洞,除非进行彻底的根本原因分析,否则Apple可以确保较新版本的漏洞”T受影响“,漏洞情报公司风险安全的安全性的首席研究官Carsten EIRAM,通过电子邮件说。

这也是影响其他软件的缺陷的情况。EIRAM公司能够确认有些已被修补,但有些仍然在他们影响Prezi桌面演示软件中的DLL劫持漏洞的最新版本的最新版本。

“用户应该只是假设较新的版本,因为它只是因为[维基解密]转储没有提到,”eIram说。

即使将所有这些缺陷最终都会被披露给供应商并修补,它也不意味着CIA不会有更新的零点利用。它的利用收购努力在2016年3月没有停止。

当其内部文件泄露时,该机构利用了未分割的漏洞,并且在此时它非常有可能为最新版本的流行计划和操作系统具有类似的利用。

重要的是要意识到总有零点爆炸在那里,而不仅仅是在情报机构的手中。2015年从黑客队伍中获得类似的泄漏,这是一家对执法进行监控软件的意大利公司,透露该公司定期从黑客购买零日漏洞。

多年来,众多黑客团体使用零点利用在他们的攻击中,有些人经常他们可能有大量的未被斑的缺陷。还有私人经纪人支付巨额资金来获取此类漏洞,然后将其转向客户,其中包括执法和情报机构。

“这泄漏主要是确认这些代理商的能力,而不是令人惊讶的是,”Eiram说。

根据EIRAM的说法,软件行业可以更好地阻止开发人员在其代码中引入漏洞,并可以构建功能以使利用更加努力,降低风险。但是,没有魔杖可以在可预见的未来摆脱所有漏洞。如果有的话,年度统计数据显示,软件漏洞的数量实际上是在崛起。

“因为这个原因,用户牢记钟声总是有益的 - 而不开发全吹偏执的偏执 - 当导航数字世界时,如果他们真的很想,”EIRAM就会有人会妥协你的系统。说。“有点逻辑,怀疑和安全意识都在物理和数字世界中有很长的路要走。”

可能是讯连月板袭击目标的用户和公司应该采取多层的防御方法,远远超出应用供应商修补程序,并考虑到零日的漏洞。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。