我们认为伤口已经包扎好,正在愈合,或者至少疾病得到了部分控制。心血去年四月初破坏互联网安全的OpenSSL漏洞再次来袭。
这次,来自 SysValue 公司的葡萄牙安全研究人员 Luis Gengeia 发现了该漏洞的一个更受限制的应用,该漏洞会攻击某些名为“Wi-Fi”的路由器。丘比特,此变体会影响使用基于 OpenSSL (EAP-TLS) 的 EAP 身份验证方法的无线网络。
它允许您从路由器恢复数据,甚至可以使用受感染的路由器从与其连接的 Android 设备(运行 Jelly Bean 4.1.1)中提取数据。运行此版本 Google 操作系统的智能手机对 Heartbleed 缺陷特别敏感,如果有更新,应立即应用。
由于这个新缺陷,攻击者可以使用 Heartbleed 从路由器或身份验证服务器获取私钥(对于公司而言),而忽略通常的安全措施。然后它就可以完全放心地访问网络。
这位安全专家认为,他的发现目前仅处于概念验证阶段,他解释说,他还没有进行足够的测试来了解有多少路由器可能受到影响。此外,它还指定只有位于损坏的路由器范围内的设备才是潜在目标。
尽管互联网尚未从第一波 Heartbleed 浪潮中恢复过来,但丘比特的到来表明,道路仍然漫长,利用这一漏洞的无数缺陷和攻击可能会在未来数月乃至数年中暴露出来。
另请阅读:
关于 Heartbleed 的巨大缺陷,你需要了解的一切都在 7 个问题中– 11/04/2014
来源 :
边缘
