开源安全引发批评
上周,波兰安全公司iSec Security Research在最新的Linux内核中宣布了三个新的漏洞,这些漏洞可能允许攻击者提升他们在机器上的权限并以root管理员身份执行程序。
这些只是过去几个月在Linux中发现的一系列严重或严重安全漏洞的最新版本。 微软的董事会会议室可能会得到一些娱乐,或者至少会感到一些解脱,因为开源应该更安全,但仍然存在这些重要缺陷。
虽然在我看来,它错过了这个标志,声称开源软件在默认情况下更安全。 对于初学者来说,我相信软件的安全性与配置和维护软件的用户或管理员一样安全。 虽然有些人可能会争辩说Linux比较安全,但一位无知的Linux用户与微软Windows用户一样不安全。
另一方面是开发者仍然是人。 在构成操作系统的成千上万行代码中,看起来可能会错过某些内容并最终发现漏洞似乎是公平的。
这就是开源和专有的区别。 在EEye数字安全解决方案公司最终公布这一漏洞并发布补丁之前8个月,微软收到了EEye Digital Security关于其实施ASN.1漏洞的通知。 那是八个月的时间,坏人可以发现并利用这个缺陷。
另一方面,开放源代码更容易修补和更新。 有这么多的开发者可以访问源代码,一旦发现缺陷或漏洞,并宣布尽快发布补丁或更新。 Linux是易出故障的,但开源社区似乎对问题的反应要快得多,因为它们出现并迅速做出适当的更新,而不是在漏洞被处理之前试图掩埋漏洞的存在。
也就是说,Linux用户应该意识到这些新漏洞,并确保他们随时了解来自各自Linux供应商的最新补丁和更新。 对这些缺陷的一个警告是,它们不能被远程利用。 这意味着要使用这些漏洞攻击系统,攻击者必须能够物理访问机器。
许多安全专家都认为,一旦攻击者能够物理访问计算机,手套就会关闭,几乎所有的安全措施最终都会被绕过。 这是远程利用的漏洞 - 可能会受到来自远程系统或本地网络之外的系统攻击的缺陷 - 目前最具危险性。
有关更多信息,请参阅本文右侧的iSec安全研究中的详细漏洞描述。