资讯专栏INFORMATION COLUMN

上云采购季!| 爆款云服务器低至4.6元/月,首单享0.9折

免费试用
首页/文章专栏/常用软件WinRAR中现新安全漏洞 可致攻击者入侵网络修改数据

常用软件WinRAR中现新安全漏洞 可致攻击者入侵网络修改数据

idealcn / 2569人阅读

摘要:软件安全漏洞为企业及个人带来意想不到的网络攻击,这些潜伏在软件中的漏洞为黑客提供了破坏网络及数据的捷径。数据显示,以上的网络安全事件是由软件自身安全漏洞被利用导致的,可以说,不安全的软件大大提高了网络系统遭到攻击的风险。

研究人员指出,WinRAR的调查是在观察到MSHTML(又名Trident)呈现的一个JavaScript错误后开始的。MSHTML是一种专为现已停止使用的ie开发的浏览器引擎,用于在Office中呈现Word、Excel和PowerPoint文档中的网页内容,导致在试用期满后启动应用程序时,发现错误窗口每三次显示一次。

通过拦截 WinRAR通过“notifier.rarlab[.]com”提醒用户免费试用期结束时发送的响应代码,并将其修改为“ 301 Moved Permanently ”重定向消息,Positive Technologies 发现它可能被滥用为所有后续请求缓存重定向到攻击者控制的恶意域。

最重要的是,已经可以访问同一网络域的攻击者可以进行ARP欺骗攻击,以远程启动应用程序、检索本地主机信息,甚至运行任意代码。

专家指出,第三方软件中的漏洞给组织带来了严重的网络安全风险,它们可以被利用来访问系统的任何资源,并可能访问托管它的网络。

审核用户可能安装的每个应用程序是不现实的,因此对于管理与外部应用程序相关的风险以及平衡此风险与各种应用程序的业务需求之间的策略至关重要。管理不当可能会产生严重的后果。

软件安全漏洞为企业及个人带来意想不到的网络攻击,这些“潜伏”在软件中的漏洞为黑客提供了破坏网络及数据的“捷径”。数据显示,90%以上的网络安全事件是由软件自身安全漏洞被利用导致的,可以说,不安全的软件大大提高了网络系统遭到攻击的风险。

然而,通过安全可信的自动化静态代码检测工具能有效减少30-70%的安全漏洞!诸如缓冲区溢出漏洞、注入漏洞及XSS等,更是可以在不运行代码的情况下就能检测出来。此外静态代码检测有助于开发人员第一时间发现并修正代码缺陷,这将为开发人员节省大量时间,同时也能降低企业维护安全问题的成本。作为传统网络安全防御措施的重要补充手段,使用静态代码检测工具提高软件自身安全性已成为国际共识。

参读链接:

thehackernews.com/2021/10/bug…

WAF 堡垒机 常用软件WinRAR中现新安全漏洞 可致 安全产品不“安全”?可致数据泄露的SNI 网络安全 入侵检测 网络安全预防dos攻击

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/122733.html

相关文章

  • Linphone和MicroSIP软电话中暴露严重安全漏洞 可致黑客远程攻击

    摘要:安全漏洞为网络系统带来极大的威胁及隐患,而的网络安全事件和安全漏洞相关。根据国家信息安全漏洞共享平台统计,软件漏洞比例最高占全部网络漏洞的,因此减少软件漏洞能有效降低网络安全风险,加强网络抵御恶意软件攻击的能力。 安全人员SySS设计的攻击称为SIP Digest Leak,它涉及向目标软电话发送SIP INVITE消息以协商会话,然后发送需要 407代理身份验证HTTP响应状态代码,...

    Cciradih 评论0 收藏0

  • Nagios披露11个安全漏洞 严重可致黑客接管IT基础设施

    摘要:网络管理系统需要广泛的信任和对网络组件的访问,以便正确监控网络行为和性能是否出现故障和效率低下,称。今年月早些时候,披露了网络监控应用程序中的个安全漏洞,这些漏洞可能被攻击者滥用,在没有任何运营商干预的情况下劫持基础设施。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...

    pkwenda 评论0 收藏0

  • 安全产品不“安全”?可致数据泄露的SNI漏洞影响Cisco、Fortinet等产品

    摘要:并表示,利用此漏洞可能使攻击者能够绕过许多安全产品的安全协议,从而导致数据泄露。思科在一份安全公告中表示,其部分产品,包括其网络安全设备和威胁防御以及某些版本的检测引擎受漏洞影响,并且正在调查其他产品是否受到影响。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...

    mo0n1andin 评论0 收藏0

  • 网络安全】基于网络攻击链的安全防护思考

    摘要:庞大的数据说明了恶意代码的网络传播行为尤为猖獗,全网计算机用户的网络安全防护意识仍待提高。查看网络安全学习资料安装木马攻击者在获取到目标系统的控制权限后,将在目标系统中安装木马,植入后门,后门程序通常具有极强的隐蔽性,很难被正常用户发现。 ...

    jsummer 评论0 收藏0

  • 计算机网络安全 第一章绪论

    摘要:自然灾害人为因素人为因素对计算机网络的破坏,称为人对计算机网络的攻击,分为被动攻击,主动攻击,邻近攻击,内部人员攻击,分发攻击。被动攻击主要是监视公共媒体如无线电,卫星,微波和公共交换网上传送的信息。 ...

    ZHAO_ 评论0 收藏0

发表评论

登陆后可评论

0条评论

idealcn

|高级讲师
我要私信

TA的文章

阅读更多

云社区相关服务

提问 提问 学习 学习 认证 认证 产品 产品 技术服务 技术服务 售前咨询 售前咨询
最新活动
阅读需要支付1元查看
<