開源安全引發批評
上週,波蘭安全公司iSec Security Research在最新的Linux內核中宣布了三個新的漏洞,這些漏洞可能允許攻擊者提升他們在機器上的權限並以root管理員身份執行程序。
這些只是過去幾個月在Linux中發現的一系列嚴重或嚴重安全漏洞的最新版本。 微軟的董事會會議室可能會得到一些娛樂,或者至少會感到一些解脫,因為開源應該更安全,但仍然存在這些重要缺陷。
雖然在我看來,它錯過了這個標誌,聲稱開源軟件在默認情況下更安全。 對於初學者來說,我相信軟件的安全性與配置和維護軟件的用戶或管理員一樣安全。 雖然有些人可能會爭辯說Linux比較安全,但一位無知的Linux用戶與微軟Windows用戶一樣不安全。
另一方面是開發者仍然是人。 在構成操作系統的成千上萬行代碼中,看起來可能會錯過某些內容並最終發現漏洞似乎是公平的。
這就是開源和專有的區別。 在EEye數字安全解決方案公司最終公佈這一漏洞並發布補丁之前8個月,微軟收到了EEye Digital Security關於其實施ASN.1漏洞的通知。 那是八個月的時間,壞人可以發現並利用這個缺陷。
另一方面,開放源代碼更容易修補和更新。 有這麼多的開發者可以訪問源代碼,一旦發現缺陷或漏洞,並宣布盡快發布補丁或更新。 Linux是易出故障的,但開源社區似乎對問題的反應要快得多,因為它們出現並迅速做出適當的更新,而不是在漏洞被處理之前試圖掩埋漏洞的存在。
也就是說,Linux用戶應該意識到這些新漏洞,並確保他們隨時了解來自各自Linux供應商的最新補丁和更新。 對這些缺陷的一個警告是,它們不能被遠程利用。 這意味著要使用這些漏洞攻擊系統,攻擊者必須能夠物理訪問機器。
許多安全專家都認為,一旦攻擊者能夠物理訪問計算機,手套就會關閉,幾乎所有的安全措施最終都會被繞過。 這是遠程利用的漏洞 - 可能會受到來自遠程系統或本地網絡之外的系統攻擊的缺陷 - 目前最具危險性。
有關更多信息,請參閱本文右側的iSec安全研究中的詳細漏洞描述。