近日,工商銀行網(wǎng)銀助手等安全控件被曝存在“災(zāi)難級(jí)”漏洞,該漏洞可致遠(yuǎn)程任意代碼執(zhí)行,對(duì)用戶電腦安全造成極大危害。百度安全提示用戶盡快開啟自查,添加官方臨時(shí)補(bǔ)丁文件保護(hù)電腦安全,同時(shí)百度殺毒率先推出漏洞自檢及“一鍵修復(fù)”功能,為用戶提供“智能”解決方案,用戶可自行前往百度安全官網(wǎng)升級(jí)新版加強(qiáng)防護(hù)。
5月10日,烏云平臺(tái)公開了名為“工商銀行安全控件可導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行”的重要漏洞,該漏洞的具體執(zhí)行過(guò)程為:工商銀行網(wǎng)銀控件在安裝和每次啟動(dòng)時(shí),會(huì)自動(dòng)檢查網(wǎng)銀環(huán)境,這時(shí)它會(huì)將自家網(wǎng)站地址添加到IE的受信任站點(diǎn)列表里,并且把“對(duì)未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本”的開關(guān)設(shè)置為啟動(dòng)。通俗點(diǎn)說(shuō)法就是IE被設(shè)置為可以執(zhí)行不安全的風(fēng)險(xiǎn)代碼。
烏云平臺(tái)的描述中稱,這一更改是此漏洞的核心,一旦啟用了這一選項(xiàng),信用站點(diǎn)列表中的網(wǎng)站可以無(wú)需用戶許可即能執(zhí)行高危代碼,比如打開任意程序、讀寫本地文件。不僅如此,很多activex會(huì)將自身的域名寫入“受信任列表”,導(dǎo)致實(shí)際擁有此權(quán)限的網(wǎng)站非常多,部分域名甚至采用的是非https,降低了黑客攻擊難度,從而導(dǎo)致風(fēng)險(xiǎn)擴(kuò)大。故而當(dāng)用戶訪問“受信任列表”中的網(wǎng)站時(shí)(如網(wǎng)購(gòu)的時(shí)候),將可能會(huì)遭遇惡意攻擊(黑客采用XSS攻擊、DNS劫持、Wifi釣魚等手法,在公共網(wǎng)絡(luò)環(huán)境下的風(fēng)險(xiǎn)尤為嚴(yán)重),通過(guò)執(zhí)行任意惡意代碼,給電腦帶來(lái)極高風(fēng)險(xiǎn)。而由于這跟網(wǎng)銀有關(guān),最直接的影響便是造成用戶經(jīng)濟(jì)損失。
根據(jù)業(yè)界測(cè)試的結(jié)果顯示,除工商銀行外, 華夏銀行、建設(shè)銀行等安全控件等均受此問題影響。
對(duì)此,百度殺毒團(tuán)隊(duì)第一時(shí)間啟動(dòng)應(yīng)對(duì)策略,并率先推出針對(duì)該漏洞的檢測(cè)修復(fù)方案,用戶可自行前往百度殺毒官網(wǎng)下載最新版,盡快進(jìn)行掃描自查并進(jìn)行“一鍵修復(fù)”。百度安全會(huì)繼續(xù)保持關(guān)注該事件的后續(xù)影響,持續(xù)提供更優(yōu)的解決與防護(hù)方案。
近年,網(wǎng)絡(luò)安全問題日趨嚴(yán)重,相關(guān)報(bào)告指出,網(wǎng)民因?yàn)榫W(wǎng)絡(luò)詐騙、垃圾信息、個(gè)人信息泄露等侵權(quán)現(xiàn)象而產(chǎn)生的損失達(dá)千億元人民幣。百度安全專家提醒用戶,平時(shí)上網(wǎng)需養(yǎng)成良好的習(xí)慣,以免留下安全隱患,而對(duì)于此類普通用戶難以防范或辨別的重要漏洞,可以通過(guò)安裝正規(guī)、專業(yè)的安全軟件最大限度保護(hù)上網(wǎng)安全。