谷歌一名安全研究員塔維斯·奧曼迪，上周在推特上披露了卡巴斯基防病毒軟件中的一個(gè)漏洞，利用此漏洞可繞過卡巴斯基2015、2016版防病毒產(chǎn)品，入侵用戶的計(jì)算機(jī)系統(tǒng)。

“一個(gè)遠(yuǎn)程的無需交互的系統(tǒng)級(jí)漏洞，默認(rèn)設(shè)置。所以，(情況)要多嚴(yán)重有多嚴(yán)重。”

奧曼迪并未透露漏洞細(xì)節(jié)，但卡巴斯基官方表示這是一個(gè)緩沖區(qū)溢出漏洞，并在確認(rèn)漏洞提交的24小時(shí)之內(nèi)，發(fā)布了修復(fù)補(bǔ)丁。

另外一名安全研究人員，克里斯蒂安·埃瑞克上周公布了火眼核心產(chǎn)品中的一個(gè)零日漏洞的細(xì)節(jié)。埃瑞克表示，他于18個(gè)月前提交的這個(gè)可以遠(yuǎn)程獲得root文件系統(tǒng)訪問權(quán)限的漏洞。而且，埃瑞克還表示，另外有3個(gè)漏洞，僅供出售。埃瑞克給這些漏洞開出的價(jià)格是1萬美元/個(gè)。

夠酷，web服務(wù)器以root權(quán)限運(yùn)行!這就是安全廠商所干的安全漂亮事。

“這只是火眼/曼迪安特許多零日漏洞之一。坐等18個(gè)月了，這些火眼的安全‘專家’還是沒有解決。”

埃瑞克表示，如果火眼不修復(fù)這些問題的話，他們的產(chǎn)品就不值得信任。尤其是對(duì)于安全廠商來說，安全標(biāo)準(zhǔn)應(yīng)該更高。

火眼針對(duì)此事已發(fā)布公開聲明。聲明表示，感謝埃瑞克這樣的安全研究人員找到漏洞并幫助改善安全產(chǎn)品，但希望漏洞研究人員要負(fù)責(zé)任的披露相關(guān)信息。

“我們已經(jīng)聯(lián)系研究人員，以迅速判定問題，并努力減少對(duì)我們平臺(tái)和客戶安全的影響。”

原文地址：http://www.aqniu.com/news/10051.html