What Is a Zero-Day Flaw and How It Can Put Your Passwords at Risk

当您考虑网络安全时,也许不会想到哲学。然而,今天我们将谈论零日漏洞,这个概念需要一点心理体操。当我们有一种可能影响脆弱系统的特定感染时,这实际上很容易;然而,零日漏洞更像是恶意第三方可以利用目标系统的时间框架。为了缓解此漏洞,必须由软件供应商和用户共同努力。要了解有关此概念的更多信息,以及零日漏洞如何暴露密码,请继续阅读此博客条目。

零日漏洞的概念

当你听到这句话时,你可能会想到某种软件故障,它允许网络罪犯入侵系统。你实际上是对的,但我们想解释这个概念的某些方面。

零日漏洞并未指出特定程序或特定系统。它用于描述软件供应商不了解的假设漏洞。如果供应商不了解某些漏洞,黑客就有更多机会利用它。仅当供应商发布包含修补程序的更新时才会缓解此漏洞,该修补程序可修复漏洞。供应商发布补丁所需的天数可以在名称中使用,而不是“零”。

例如,如果自发现漏洞后开发和发布补丁需要20天,则可以将特定漏洞称为20天漏洞。但是,即使已经开发了此修复程序,仍然很有可能可以利用此漏洞,因为并非每个用户都可以立即应用此修复程序。

零日漏洞的例子

为了让您更好地了解零日漏洞概念如何在实践中应用,让我们来看看最新的软件问题,这些问题在2019年成为头条新闻。例如,在2月初, Adobe发布了一个微片 ,用于解决Adobe Reader的零日漏洞。与使用某个软件漏洞的大多数漏洞利用程序不同,使用此漏洞的攻击者利用了PDF文件内容嵌入功能中的漏洞。结果,这个零日漏洞暴露了密码,因为它允许犯罪分子通过“打电话回家”窃取哈希密码值。

Adobe发布的微量补丁并没有立即修复漏洞。当用户以可能被网络犯罪分子利用的方式使用Adobe Reader时,它会通过显示安全警告来通知用户. 官方安全更新后来根据官方Adobe的补丁计划发布。

另一个解决零日漏洞的知名公司的例子包括Apple在2月初修复了与iOS和macOS Mojave相关的几个安全问题。 Apple修复了可能被利用的四个漏洞。也许普通公众所知的最大漏洞是FaceTime错误 ,它允许任何人使用该应用程序窃听用户的对话。有这些漏洞的一点是,供应商事先并不了解它们,Apple肯定不知道它必须修复的漏洞。当消费者或第三方研究人员意外发现此类问题时,这是零日漏洞的典型示例。

如果我们回顾一下更多的例子,我们还可以提到macOS中一个旧的关键缺陷,它可以在PlainText中显示密码 。这个零日漏洞被发现并在2017年得到修复。此漏洞允许随机应用程序以明文方式导出密码。关键是,从技术上讲,Apple不允许未签名的应用程序。因此,如果程序未经Apple批准,那么在macOS上安装流氓程序将非常困难。然而,计算机安全专家建议,即使是已签名的应用程序也可以利用该漏洞。因此,最重要的是,没有人是安全的,我们总是必须采取所有可用的安全措施来保护我们的系统免受伤害。

如何保护您的系统免受零日漏洞的影响

如上所述,除非软件供应商意识到存在漏洞,否则可能很难对此问题采取任何措施。此外,补丁发布与其实现之间存在时间框架,也可用于恶意利用。因此,为了最大限度地降低恶意利用的可能性,用户必须立即应用软件更新。

我们确实意识到有些用户可能想要关闭他们设备上的自动更新功能,但这不是我们建议的。如果您允许软件下载预定更新,您肯定会最大限度地降低恶意利用的可能性。

此外,您可能会让网络犯罪分子通过将密码保存在加密的保险库中来加密密码。您可以通过使用密码管理器将所有密码保存在一个锁定下来实现。然后,您只需要一个必须记住的主密码(您不能将其存储在系统的任何位置,或者至少不建议使用它)来访问所有其他密码。无论哪种方式,都有各种方法可以提高系统的安全性,从而最大限度地减少因零日漏洞而可能面临的潜在危害。

除此之外,您将通过建立安全的在线习惯来帮助自己. 你总会看到安全专家说需要投资一个可靠的反间谍软件工具,但除非你真正采用安全的网页浏览习惯,否则该工具可能并不意味着或做得太多。安全程序无法保护您免受可能意外启动的迷路点击或恶意下载。因此,使用更新和可靠的软件很重要,但是如何与在线内容进行交互也非常重要。

March 6, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
4 + 7是什么?