互联网DNS隐藏重大漏洞 补丁已经发布


    CERT advisor宣布多家大型开发商联合发布了一个修复DNS严重漏洞的补丁。安全研究人员Dan Kaminsky今年初在DNS中发现了一个基础漏洞,允许黑客轻松的攻击任何域名服务器,同时它也会影响浏览用户。Kaminsky之后秘密的和一组软、硬件开发商联系合作制作补丁。

    各大软、硬件生产商为此已秘密协同工作了几个月,并于周二发布了一个软件补丁以修复该漏洞。

    安全顾问公司Securosis分析师里奇·莫古尔(Rich Mogul)称:“这是一个十分严峻的问题,涉及到整个域名框架如何运行。如果不修复这一漏洞,互联网仍将存在,但已不再是你想要的互联网了——黑客将控制一切。”

    “网络钓鱼”者将因此感到高兴,因为该漏洞能把互联网用户引导至伪造的银行或信用卡公司页面,骗取银行帐号、密码及其他信息。不管用户输入的网址是什么,黑客都可以利用这一漏洞将其引到他们想要用户去的任何地方。

    网络安全产品和服务提供商IOActive安全研究员丹·卡明斯基(Dan Kaminsky)大约六个月前发现了域名系统的这一漏洞,并与微软、Sun和思科等业内巨头取得了联系,就解决方案问题展开合作。

    每台与互联网相连的计算机都使用域名系统,其工作原理类似于电话系统将来电接入特定电话号码。

    卡明斯基称:“人们应当关心此事,但不必恐慌,我们已尽可能争取到足够的时间,供人们测试和安装补丁。如此重大的问题以前从未有过。”

    CERT advisor的名单(DOC)上列出了81家开发商。这儿有采访Dan Kaminsky的录音,他的个人网站右上角有一个DNS漏洞检查器:这个问题非常的严重,所有的域名服务器应该尽快的打上补丁。补丁已经发布到不同的平台,因为问题出在DNS协议本身,并非是一个特殊的实现。好消息是补丁不会透露漏洞的存在,逆向工程没有直接实现的可能。

相关内容