我們認為傷口已經包紮好,正在癒合,或至少疾病得到了部分控制。心血去年四月初破壞網路安全的OpenSSL漏洞再次來襲。
這次,來自 SysValue 公司的葡萄牙安全研究人員 Luis Gengeia 發現了該漏洞的一個更受限制的應用,該漏洞會攻擊某些名為「Wi-Fi」的路由器。丘比特,此變體會影響使用基於 OpenSSL (EAP-TLS) 的 EAP 身份驗證方法的無線網路。
它允許您從路由器恢復數據,甚至可以使用受感染的路由器從與其連接的 Android 設備(運行 Jelly Bean 4.1.1)中提取數據。運行此版本 Google 作業系統的智慧型手機對 Heartbleed 缺陷特別敏感,如果有更新,應立即套用。
由於這個新缺陷,攻擊者可以使用 Heartbleed 從路由器或身分驗證伺服器取得私鑰(對於公司而言),而忽略通常的安全措施。然後它就可以完全放心地存取網路。
這位安全專家認為,他的發現目前僅處於概念驗證階段,他解釋說,他還沒有進行足夠的測試來了解有多少路由器可能受到影響。此外,它還指定只有位於損壞的路由器範圍內的設備才是潛在目標。
儘管互聯網尚未從第一波 Heartbleed 浪潮中恢復過來,但丘比特的到來表明,道路仍然漫長,利用這一漏洞的無數缺陷和攻擊可能會在未來數月乃至數年中暴露出來。
另請閱讀:
關於 Heartbleed 的巨大缺陷,你需要了解的一切都在 7 個問題中– 11/04/2014
來源 :
邊緣
