【經濟日報╱編譯于倩若/路透波士頓三日電】2009.12.04
美國政府2日宣布,思科(Cisco Systems)等四家公司生產的網路設備存在安全缺陷,讓駭客得以入侵企業電腦網絡。
國土安全部的美國電腦安全緊急應變小組(US-CERT)2日在網站上表示,這項警告是針對思科、瞻博網路(Juniper Networks)、SonicWall和SafeNet這四家公司生產的特定網路產品。
這個漏洞存在於採用SSL虛擬私有網路(SSL VPN)技術的網路設備中,企業利用該技術成立安全通訊系統,藉此安全地從網際網路連進內部電腦。
這個漏洞影響直接透過網路瀏覽器運作的VPN系統,而非影響透過使用者個人電腦內的軟體運作的VPN系統。駭客利用這項弱點連入企業網路,竊取機密資料,安裝惡意軟體,或把個人電腦變成垃圾郵件伺服器。
US-CERT在網站上貼文指出,這四家網路設備製造商尚未修正這個漏洞,美國政府是在9月24日注意到這個問題。
US-CERT的研究人員已發展出三種可降低駭客入侵風險的方法,不過仍無法完全杜絕駭客入侵。
瞻博網路安全因應小組負責人葛林(Barry Greene)說,瞻博幾年前就已發現這項弱點,也已建議客戶以現有的解決方法運作系統。他說:「採取最佳解決方案的客戶都能大幅降低風險,顧客大可放心。」
SafeNet發言人傑曼恩則表示,SafeNet已發展出可完全消除駭客入侵風險的方法,並已建議顧客趕緊設定設備以排除風險。思科和SonicWall都不願對美國政府的警告發表評論。
美國政府說,US-CERT尚未對其他公司生產的SSL虛擬私有網路產品進行測試,但其他公司製造的SSL虛擬私有網路產品也可能存在安全缺陷。
※ 相關報導:
* Vulnerability Note VU#261869 -- Clientless SSL VPN products break web browser domain-based security models
http://www.kb.cert.org/vuls/id/261869
Clientless SSL VPN products from multiple vendors operate in a way that breaks fundamental browser security mechanisms. An attacker could use these devices to bypass authentication or conduct other web-based attacks...
◆ 微軟下周將修補重大IE漏洞
http://www.zdnet.com.tw/news/software/0,2000085678,20143177,00.htm
ZDNet新聞專區:Elinor Mills 2009/12/04
微軟公司周四表示,下周將發布六個安全更新,修補12種安全漏洞,其中包括一個重大的Internet Explorer瀏覽器安全漏洞,可能影響Windows 7以及其他使用中的Windows版本。
11月下旬,微軟表示正在調查一項IE安全弱點。之前已有人釋出用來驗證概念的攻擊程式碼(exploit code),瞄準IE6和IE7的安全漏洞,可能被駭客用來接管電腦。
微軟將在例行的周二安全更新日(Patch Tuesday)發布這六個更新,其中三個是重大(critical)更新。受影響的軟體包括:Windows 2000、Windows XP、Vista、Windows 7、Server 2003、Server 2008,以及Office XP和Office 2003。(唐慧文譯)
※ 相關報導:
* 加快上網速度 Google提供DNS服務(你該加入嗎?)
http://www.zdnet.com.tw/news/web/0,2000085679,20143174,00.htm
沒有留言:
張貼留言