欧美色在线视频播放 视频,国产精品亚洲精品日韩已方,日本特级婬片中文免费看,亚洲 另类 在线 欧美 制服



<td id="8pdsg"><strong id="8pdsg"></strong></td>
<mark id="8pdsg"><menu id="8pdsg"><acronym id="8pdsg"></acronym></menu></mark>

<noscript id="8pdsg"><progress id="8pdsg"></progress></noscript>
    




    

    
    
        
    
    
    

    






    


    
    
    
    
    
    
        
    
        	
            
    1. 
             首頁 >資訊 >  正文
    

            
    
                    
    
                        
    
                            
    OpenWRT代碼執(zhí)行錯誤使數(shù)百萬設備面臨風險
    
                            
    
                                發(fā)布日期:2021-10-11 01:21:21   來源:  編輯:

                            
    
                        
    
				

				
                        
    

    
                    	
                    
                            
                          
    
有研究人員表示,近三年來,openwrt——家庭路由器和其他嵌入式系統(tǒng)的開源操作系統(tǒng)——都容易受到遠程代碼執(zhí)行攻擊,因為更新是通過未加密的渠道進行的,數(shù)字簽名的驗證很容易被繞過。

    

    


    

    
OpenWRT有一群忠實的用戶,他們使用免費的軟件包作為安裝在設備上的固件的替代品。除了路由器,OpenWRT還可以運行在智能手機、掌上電腦,甚至筆記本電腦和臺式電腦上。用戶經(jīng)常會發(fā)現(xiàn)OpenWRT是一個更安全的選擇,因為它提供了高級功能,并且源代碼易于審計。

    

    
然而,安全研究員Guido  Vranken最近發(fā)現(xiàn),更新和安裝文件是通過未加密的HTTPs連接傳輸?shù)?,這很容易受到攻擊,并允許對手用惡意更新完全替換合法更新。研究人員還發(fā)現(xiàn),對于有經(jīng)驗的攻擊者來說,繞過數(shù)字簽名檢查來驗證下載的更新是否是OpenWTR維護者提供的合法更新非常簡單。這兩個漏洞的結(jié)合使得發(fā)送惡意更新成為可能,易受攻擊的設備會自動安裝惡意更新。

    

    


    

    
這些代碼執(zhí)行漏洞的范圍有限,因為對手必須能夠進行中間人攻擊或篡改設備,才能在互聯(lián)網(wǎng)上找到更新的DNS服務器。這意味著網(wǎng)絡上沒有惡意用戶并且使用合法DNS服務器的路由器不會受到攻擊。Vranken還推測,數(shù)據(jù)包欺騙或ARP緩存中毒也可能使攻擊成為可能,但他警告說,他沒有測試這兩種方法。

    

    


    

    
盡管有這些要求,許多網(wǎng)絡與設備運營商不認識或不信任的人連接。更重要的是,針對惡意DNS的攻擊,而不是針對合法DNS的路由器設置,是互聯(lián)網(wǎng)上的現(xiàn)實,就像這里、這里、這里和這里的攻擊(僅舉幾個例子)。

    

    
使用HTTPS加密的失敗是造成這一弱點的原因之一。HTTPS提供的加密技術使得附近的攻擊者無法在數(shù)據(jù)傳輸過程中篡改數(shù)據(jù)。HTTPS內(nèi)置的認證保障也讓攻擊者無法模擬downloads.openwrt.org,這是一個真正的OpenWRT服務器,提供合法的更新和安裝文件。

    

    
鄭重聲明:本文版權歸原作者所有。轉(zhuǎn)載文章只是為了傳播更多的信息。如果作者信息標注有誤,請第一時間聯(lián)系我們修改或刪除。謝謝你。

     
                                 

            				
    標簽:
                                                            
    
	
	
                            
     免責聲明:本文由用戶上傳,與本網(wǎng)站立場無關。財經(jīng)信息僅供讀者參考,并不構(gòu)成投資建議。投資者據(jù)此操作,風險自擔。 如有侵權請聯(lián)系刪除!

    

                        
    
                        
                        
                        
                        

                        
                          
                        

                        
    


    
    猜你喜歡
    
        
    
    
    
    
    
    
    最新文章