软件更新存在安全漏洞软件更新应该使用数字签名

136 主题	9 好友	1599 积分

金牌会员

Rank: 6 Rank: 6

发消息

电梯直达

楼主

发表于 2012-11-13 09:22:30 |只看该作者 |倒序浏览

两名来自以色列安全公司Radware的专家日前发现，软件更新过程中有可能被劫持通讯，受此漏洞影响的软件包括Skype和其他若干应用程序。
Radware安全运营中心主管Itzik Kotler警告说，目前他们已经发现100多款主流软件存在上述安全问题。
为了检验这一发现，Kotler和他的同事Tomer Bitton正在开发一个名叫Ippon的工具，这个工具可以完成上述攻击并且能够提供网络中受潜在影响机器的3D分布图。在柔道中，Ippon意味着失败，同样的，Ippon会使你的电脑game over。
按照他们的理论，攻击者首先扫描无线网络，寻找通过HTTP检查更新的电脑，当系统检测到某台电脑发送了一个软件更新请求时，这个工具就会抢在应用程序更新服务器响应之前回复该电脑，Ippon会回复有可用更新――即使这台电脑上已经安装了所有更新，然后恶意程序就会被用户下载到本地电脑。
到目前为止，他们还没有发现Firefox和其他主流浏览器是否存在这个缺陷。他们还发现，目前微软的软件是安全的，因为它在更新过程中使用数字签名。Kotler认为，所有的软件更新都应该使用数字签名，人们应该避免通过无线公共网络进行软件更新。

软件更新, 管理软件安全, 速达实施, 速达应用, 数字签名