【51CTO.com 独家翻译】2008年1月16日消息,据国外媒体报道,安全专家日前揭示了一个存在于大部分家用路由器当中的设计缺陷。攻击者利用这个缺陷,可以使连接路由器的计算机自动登陆恶意网站,从而实现对此计算机的远程控制。
这个设计缺陷使黑客可以把受害电脑引到欺诈网站,这些网站通常都伪装成银行,电子商务公司或者卫生保健组织这样的可靠网站。即使用户更改了路由器的默认密码,这个漏洞也还是会被利用。只要它安装了近期版本的Adobe Flash,即使计算机的浏览器与设备的操作系统在运行当中,它还是会起作用。
Adrian Pastor为著名的黑客组织GNUCitizen工作,他在即时消息中说“这是一个巨大的问题”,这个问题存在于“通用即插即用”当中,一个安装在大部分家庭网络路由器当中的部件,有了它,电脑游戏,即时消息程序和其他应用程序就会完美地运转。通过将一个终端用户暴露于潜伏在网站内的恶意Flash文件之下,黑客就能用“通用即插即用”来对路由器做修改。
黑客对路由器所做的最严重的修改是用来进入网站的服务器所做的更改。这就可能使受害电脑进入eBay或美国银行来看那些能盗取受害者登录凭证的欺诈网页。
这个攻击手段也可以使黑客打开被攻击路由器的端口。通过转换端口到一个外部服务器上,这对于把路由器转换成僵尸机器很有用处,
研究人员说,这个缺陷不是一个Flash内的安全漏洞,它是不需要验证的“通用即插即用”的设计缺陷。使用任何平台和浏览器的电脑都会改变路由器的设置,只要它们运行的是version 8或更高版本的Flash。
研究人员说,Linksys, Dlink和SpeedTouch生产的路由器已经被确定有漏洞,其他厂家的产品也很有可能受到攻击。大部分路由器通过默认方式启动“通用即插即用”。唯一防止攻击的方法就是关闭这个部件,对某些设备可行,但对某些设备是不可行的。
【51CTO.COM 独家翻译,转载请注明出处及译者!】
|
· 最新安全软件:微软官方.. · 网络端口安全防护技巧 .. · 19日病毒预报:木马家.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 安全专家详谈Web威胁种.. · WatchGuard分析:僵尸.. · MigBot代码补丁技术的.. · 系统病毒免疫设置 · Cisco路由器简明配置手.. · 三层交换机与路由器的.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Apache技术专题 · Windows集群服务应用 · 国际文档格式标准开战 |
· 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 · 了解统一威胁管理(UTM).. · 专题:AIX操作系统管理.. · 访问控制列表(ACL)介绍 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · 三层交换技术专题 · Apache技术专题 · 企业数据恢复指南 · Windows集群服务应用 |
· 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 · 访问控制列表(ACL)介绍 · ASP.NET开发教程 · PHP开发应用手册 |
|||
