2月1日,针对瑞星公司称其“本地提权”漏洞对用户没有影响的声明,360安全专家石晓虹博士表示:“本地提权”漏洞危害巨大是安全行业的常识。任何软件都可能出现漏洞,出漏洞本身并不可怕,但是把一个危害巨大的漏洞说成对用户“没有影响”,不是一家合格的安全公司应有的做法。
瑞星“漏洞门”事件一波三折 攻击代码已扩散
瑞星“漏洞门”事件源于1月23日波兰安全组织NT Internals发布的一则公告。公告称,该组织于一年前将瑞星杀毒软件存在的两个漏洞秘密通报给瑞星公司。但是瑞星至今仅仅“部分修复”第一个漏洞,第二个漏洞则“完全没有修复”。于是,NT Internals不得不按照行规曝光予以警示。
消息传到国内后,瑞星先是声明称早就“彻底修复了两个漏洞”。这一说法被很快揭穿后,瑞星第二次发表声明,不再提已修复漏洞的说法,而是改称“用户在上网时不会受到这种漏洞影响”。
对此,南京大学计算机系软件小组表示:“安全软件存在这样严重的安全漏洞非常罕见。瑞星的第二个漏洞完全没有修复,可以使黑客获得系统最高权限,让用户电脑以及政府机构和企业的内网完全丧失防御能力。”
360安全中心的验证结果也与NT Internals和南大软件小组一致:瑞星的漏洞并未得到修补,而且利用这两个漏洞的攻击代码已开始大面积扩散,很有可能会被利用来攻击360等其它安全软件。为此360紧急开发出临时补丁,供瑞星用户下载安装。
目前,针对瑞星漏洞的攻击代码已经在国内外安全网站上大量流传,其中不乏国外最权威的漏洞安全网站如exploit-db、securityfocus、serucrityvluns等。相应的木马样本也已现身黑客论坛。经多家网站测试,在不使用360临时补丁的情况下,漏洞攻击代码可轻松破坏用户电脑上所有安全软件的保护。
瑞星“本地提权”漏洞危害巨大 同类漏洞可卖数百万美元
针对瑞星提出的“本地提权漏洞无害说”,360安全专家反驳说:“行业里一般把本地提权漏洞的安全级别定义为‘高危’。如果有谁发现了微软的本地提权漏洞,在国外黑客圈私下交易的黑市价格可以达到几百万美金一个。而瑞星的这个漏洞属于提权漏洞中危害最大的‘内核提权’漏洞。”
“内核提权漏洞的可怕之处在于可以让一个程序直接从用户态穿透到内核态。用户态和内核态是WINDOWS系统利用硬件屏障为自己建立起来的几乎牢不可破的安全防御门槛。其中内核态的程序拥有一切权限,在WINDOWS系统上,没有任何其他软件可以限制内核态程序的行为。所以,内核提权漏洞一旦被触发,攻击者就可以操纵系统一切可以操纵的资源,做任何想做的事情,没有任何安全措施可以阻止。它可以被用来关闭瑞星及所有安全软件的保护,还可攻击网站服务器或企业域用户。政府和企业网站如果受到这类漏洞攻击,很可能会被黑客渗透到内网中。”
360安全专家认为,瑞星“漏洞门”事件几乎是前不久谷歌披露微软漏洞的翻版。上周谷歌工程师公布了微软的一个“本地提权”漏洞,为此微软立刻发布了紧急安全通告,并以最快速度给用户提供了临时解决方案, 由此可见“本地提权”漏洞威胁之大。“面对同一类型的漏洞,瑞星和微软的态度可谓截然不同。”
截至发稿前,瑞星公司仍未向用户说明漏洞的真正危害,也没有提供临时解决方案,更没有披露何时才能真正修复漏洞。
