安全厂商的价值何在?零日漏洞这事没完
软件厂商会修复这些漏洞,但用户应该谨记,总有零日漏洞利用恣意生长。 美国CIA网络间谍武器库数据泄露之后,软件厂商重申了其及时修复漏洞的承诺,告诉用户:该机构被泄文档中描述的很多漏洞都已经被修复了。 从公共关系角度看来,这些保障都是可以理解的,但它们真心改变不了任何事。尤其是对被国家支持黑客所盯上的公司和用户来说。他们使用的软件,并不比维基解密公布了那 8,700+ CIA文档之前更不安全,也没有受到更好的防护。 被泄文件描述的是CIA网络部所用恶意软件工具和漏洞利用程序,可以黑进所有主流桌面和移动操作系统,以及网络设备和嵌入式设备,比如智能电视。这些文档不包含工具真实代码,其中一些可能说明问题的描述也被删去了。 维基解密创始人阿桑奇称,该揭秘网站会与软件厂商共享未公开的信息,以便漏洞能被修复。但即便维基解密这么做了,最好还是认清这些信息仅是适时出现的一帧快照而已。 这批文档中最近的时间戳是2016年3月初,可能揭示了文件从CIA系统中拷贝出来的时间。一些漏洞利用列表也提示了相同信息。 比如说,描述苹果iOS漏洞利用的页面,包含有一张按iOS版本排列的表格。这张表格终止于 iOS 9....
