近期,苹果和Linux的xz-utils遭遇安全问题,强调了信息技术产品安全的重要性。漏洞和后门威胁系统,如xz-utils被植入后门,微软和麒麟软件采取行动应对。中国国产软件企业加强安全研发和生态建设,显示了对网络安全的重视和多方合作的必要性。
这几天,网络安全世界挺热闹。先是苹果公司确认了其Apple GPU存在的安全漏洞问题,后又有消息称Linux常用压缩工具xz-utils被供应链攻击并植入后门风险,接连发生网络安全事件,不断凸显信息技术产品安全性的重要。
周鸿祎曾经说过,有漏洞就会被人利用和攻击,攻击的后果非常严重。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者能够在未授权的情况下访问或破坏系统,就好比屋漏逢雨。
后门和漏洞一样,都严重威胁系统安全,但二者从主客观原因来讲,又有本质上的不同。后门一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,它就变成了安全风险,容易被黑客当成漏洞进行攻击,无异于开门揖盗。
就拿xz-utils被供应链攻击并植入后门风险事件来说,xz作为一种通用的数据压缩格式,几乎存在于所有开源和商业发行版的Linux操作系统版本。从5.6.0版本开始,在xz的上游tarball包中发现了恶意代码。通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互,因此该漏洞的严重性对整个Linux生态系统构成了威胁。有消息称,本次开源恶意代码出现后,微软公司连夜加班处理本次后门事件,国内操作系统厂商麒麟软件经过排查验证率先称旗下操作系统均不受影响。此外,国内网络安全企业奇安信官方发布了紧急通告并开通专线提供应急排查救援。
网络世界破破烂烂,但总有人缝缝补补。有人发现漏洞,就有人修复漏洞。有媒体报道称,util-linux 软件包近日发布了 2.40 版本更新,修复了存在于 wall 命令中,持续了 11 年的漏洞,据悉攻击者可利用该漏洞窃取密码或更改受害者的剪贴板。近年来,我们国家越来越重视网络信息安全,产学研各界在系统安全研发和生态建设方面投入越来越高。以国产操作系统龙头企业麒麟软件为例,以安全可信操作系统技术为核心,面向通用和专用领域打造安全创新操作系统产品,同时还成立了安全生态联盟,联合国内90余家网络安全厂商建立了安全漏洞协同机制,并与各单位深度协作,解决政务、金融、能源等关键行业用户的安全漏洞治理问题。
没有网络安全就没有国家安全。打造坚不可摧的网络信息安全屏障,还需要政教产学研各界以及软硬件厂商、网络安全服务提供商等多方的共同努力。
扫一扫
233
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
