这个D (这个大佬画风不对)
语音播放文章内容
由深声科技提供技术支持
随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件可能带来一连串“蝴蝶效应”,譬如去年全球最大的半导体代工制造商台积电工厂意外“中毒”,造成工厂停工不说还连累了要发新品的苹果,三天亏了10亿。而这次煽动翅膀的是D-Link产品的一个漏洞。
这个D-Link 不愿修复的高危漏洞
2019年9月,集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 发现并向官方反馈了 D-Link 产品中存在的一个未授权命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻击者可以利用该漏洞在设备上实现远程代码执行(RCE),且无需通过身份认证。该漏洞被标记为高危级别漏洞。
在 Fortinet 的报告中,受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。
遗憾的是,D-Link 表示这些产品已超出服务周期(EOL),厂商不会再为该问题提供补丁,换句话说,D-Link不愿为这些产品修复这个补丁。
被严重低估的影响面
然而不久前,360安全研究院团队对该漏洞进行了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件进行全面扫描后,发现这个D-Link不愿修复的高危漏洞,影响面被严重低估了!
发现众多疑似受漏洞影响的设备固件后,FirmwareTotal还能够进一步批量动态模拟固件、自动化执行漏洞验证POC,最终确认漏洞的存在:
最终经过360安全研究院团队验证,该漏洞背后的真相是,13个 D-Link 不同型号中的58个版本固件,都存在该漏洞。
在确认该安全问题后,360安全研究院团队第一时间通报了厂商。日前D-Link已在安全通报中更新了漏洞影响范围()。
这不是第一个,也不会是最后一个
类似D-Link这样的事件,不是第一个,也不会是最后一个。
过去,360安全研究院团队基于大规模固件数据做了很多的分析工作,发现第三方组件重复使用的问题在固件开发过程中非常普遍。
就如下图所示,一个第三方的库,常常被上千个固件所使用。这意味着一旦该库文件出现安全问题,将会影响成千上万的固件和相关设备。比如 openssl 的心脏滴血漏洞、 Busybox 的安全漏洞等。
大多数厂商都在他们的不同产品里共用类似的供应链代码,包括在已结束生命周期的老设备和刚发布的新设备里,往往也使用着相似的代码库。
当安全问题出现时,如果只看到老设备已停止支持,就停止脚步,而不去进一步探究新设备是否还在使用这些代码库,将会带来许多安全风险。
特别是在路由器产品之外的领域,比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业控制设备等,一旦被黑客抢先一步发现类似的潜在缺陷,将会对正在运行中的大量关键设备造成重大威胁。
在上图中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox组件,并且大部分使用的都是1.30.0之前的版本。经过360安全研究院团队从数万个固件样本中统计,96%的固件都使用了1.30.0之前的版本。
这会导致各种类型的设备都受其影响,包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全路由器等。
这本质上是一个信息不对称带来的重大安全威胁问题,通过FirmwareTotal则可以为厂商提供一种“看见的能力”,消除信息不对称,以及解决其带来的潜在威胁问题。
版权文章,未经授权禁止转载。详情见 转载须知 。
本文地址: https://www.gpxz.com/article/2bbdb726af30f5be3591.html
喜马拉雅是国内领先的音频分享平台,汇集了有声小说、儿童故事、相声评书、京剧戏曲、新闻段子、广播电台等数亿条免费声音内容,听书、听小说、听故事、听儿歌、听音乐,为您找到每一天的精神食粮!
随着应用的领域不断扩大,目前迎来了较好的发展机遇,为了进一步提高产品的档次,更多占领国外市场。着重展示冲压设备在各终端应用领域的解决方案,促进行业发展“2024第十四届深圳国际冲压自动化设备及技术展览会”将于2024年08月28-30日在深圳国际会展中心举办,展会同期举办高峰论坛,冲压设备在各行业应用的专业技术交流会。届时将有国内外行业品牌企业参加集中展示国内外行业产品、技术、设备及应用,展会主旨在于打造专业的冲压设备产业链一站式商贸平台!展览内容愈发丰富,预计展出面积30000平方米,为充实展会内涵,为参展商提供更宽广、更全面的展示平台,给观众带来更佳的观展体验。
PHP弱类型的实现原理分析
不论性感或清纯,专业或业余,新人或老手,专职或兼职,这是创造和留住美的最佳平台.北京,上海,重庆,四川,新疆,黑龙江,吉林,辽宁,山东,江苏,浙江,湖南,湖北
旋转接头|高温旋转接头|高压旋转接头|高速旋转接头|滕州旋转接头
低本底多道γ能谱仪、低本底αβ测量仪、低本底液体闪烁谱仪、高纯锗谱仪、测氡仪湖北方圆科学仪器股份有限公司
重庆长安专用汽车有限公司
品牌策划设计
奉化学历教育招生网提供奉化成人高考,奉化夜大,奉化函授,奉化成人教育,奉化高起专,奉化专升本,咨询电话:0574-2890409928535059
快对-在线搜索答疑软件,家长课外辅导神器,检查作业,获取题目答案与解析。下载快对,陪孩子一起作业,帮助学生快速掌握重点、难点及易错点,提升学习效率
宁津县和利机械有限公司专注于输送行业和传动行业的发展。主要产品输送机链板、链条输送机、不锈钢链板等。欢迎新老顾客来电咨询。
华益药业科技(安徽)有限公司
INMO影目科技的第二代AR眼镜INMOAir2于4月20日京东、天猫正式开启预售,AR眼镜,智能戒指组合套装售价为3999元,和其他AR眼镜相比并不算便宜的价格却让这款眼镜首批预售3小时迅速爆仓,并因为率先接入了时下大火的GPT大语言模型而快速破圈,成为不仅限科技爱好者的热点话题,给了今年不温不火的XR市场一剂,强心针,,那么AR真...。
如何让机器人的大脑,模仿,得更像人类的大脑,科学家们给出的答案是研究人脑结构的分子层面,尝试深入地了解人脑细胞的情况,进而将,拼图,完成,还原大脑,那么,什么是神经认知学,神经认知在机器人领域都有哪些应用,本期雷锋网硬创公开课邀请到TIANBOT资深机器人研究工程师田博,为我们做主题为,神经认知学在机器人中的发展和应用,的分享,内容介...。
财政部、税务总局、住房城乡树立部发布,对于促成房地产市场颠簸肥壮开展无关税收政策的通告,,明白多项允许房地产市场开展的税收活动政策,通告明白,加大住房买卖过程契税活动力度,踊跃允许居民刚性和改善性住房需求;降落土地增值税预征率下限,缓解房地产企业财务艰巨,此外,明白与敞开普通住宅和非普通住宅规范相连贯的增值税、土地增值税活动政策,降落...。
[全球时报报道记者丁雅栀]在美国对华新加征的301关税正式失效前两天,美国贸易代表办公室,USTR,7月30日宣布申明称,原定于8月1日失效的对包含电动汽车及其电池在内的一系列从中国出口产品大幅加征关税的措施将被推延,至少两周期间,日本经济资讯,7月31日报道称,此举是由于关于局部产品,美国国际产生了要求延期的声响,美国须要更多期...。
是1998年的狮子座流星雨,狮子座流星雨存在两种不同的流星群,所看见的现象也不同,第一种是被称为,暴雨,的局部,由新的流星物质组成,它们存在不到两、三个回归周期,这局部的物质颗粒大到可构成火流星,而大少数都极端纤细,它们出如今地球穿梭彗星轨道时辰前后,暴雨,峰值出现时辰每年有必定的差异,1998年的,暴雨,局部高峰出如今北京期间11...。
去年11月底的广州车展上,西风启辰发布了全新一代紧凑型SUV启辰星;依照方案,它将于往年一季度正式上市,从产品定位来看,启辰星与T70比拟凑近,都定位于10万元左右紧凑SUV市场,启辰星会卖多少钱、竞争力如何,小猫给您便捷剖析下,说到启辰品牌,小猫以为有必要多唠叨几句,只管它目前名为,西风启辰,,但它最后是西风日产打造的合资自主品牌,...。
骏捷fsv无13排量,有15,16mt或at车型,而13的frv驳回了华晨全新的紧凑型平台,能源上驳回4a13铸铁引擎直列四缸,容量为1298cc紧缩比为101最大扭距120nm4000~6000rmp最高车速160kmh配有vvt系统,具备大,1首先将缸体与水泵密封圈接触面涂抹上润滑油,繁难前期挂皮带2将发电机轮轴处的卡轮向外拉伸,...。
手机下载谷歌阅读器的步骤如下,1、确保手机已衔接到互联网,关上手机上的GooglePlay商店运行,2、在搜查栏输入,Chrome,,点击搜查,3、在搜查结果中,找到,GoogleChrome,极速安保,并点击进入,4、点击页面中的,装置,按钮,运行会开局智能下载并装置,5、下载和装置实现后,点击,关上,按钮,即可开局经常使用Chro...。
2023年大模型的发展如火如荼,国内手机厂商也纷纷加入。11月1日,声势浩大的2023vivo开发者大会在深圳举办。当日,vivo正式发布自研蓝心大模型、OriginOS4、自研蓝河操作系统等多领域的最新成果。vivo蓝心大模型的发布备受关注,其中包括五款自主研发的大型模型,分别是十亿、百亿、千亿三种不同参数量级,覆盖了核心应用场景。这表明vivo已经率先进入了大型模型的应用和产业布局阶段维沃公司的高级副总裁和首席技术官施玉坚维沃公司的高级副总裁和首席技术官施玉坚在大会上表示,新技术要用之于民才
词汇专题,提供词汇的相关文章和相关资讯,在本栏目你可以看到词汇这个内容的相关各类文章很多篇,如有不足请提供给我们更多词汇的文章供大家查阅.
郑恺苗苗三胎瞒不住,性别名字全曝光,被发现后立马删视频,冯小刚,钟楚曦,大肚照,郑恺苗,新恋情,苗苗(演员)
多网盘一键转存工具PHP源码,可以将您的百度网盘资源一键转存到夸克、UC、蓝奏等网盘平台无需下载。并支持后台设置开屏广告、转存密码(可用于引流)教程:1.将源码压缩包上传至网页根目录2.访问http://域名/install3.填写...
双十一还没开始,这届年轻人就已经陷入被阿里和淘宝统治的恐惧中,不仅每天上下班地铁、电梯、公交站全是双十一的广告,订个外卖打开饿了么、刷个新闻打开微博、看个剧打开优酷…开屏通通是一个硕大的猫头,有人说这些都是阿里系的产品,只要我宅在家里,不打开这些App,就不会被双十一刷屏了,年轻人,还是太幼稚,缺乏互联网的洗礼,哪怕你躲在马里亚纳海沟...。
在我国有很大的响应,很多人对这个从国外引进的美食产生很大的青睐,很多人的空闲时间都用来消费,它在我国的知名度是很高的,这也是很多人想要智慧之选它的重要原因,现在我们就一起来学习一下加盟流程,加盟热线,1377436724815221210835经过自己的努力,不断向前走进,走上了国际的市场,它的发展迅猛,而且得到了许多人的大力支持,加...。
印度严重的疫情十分令人揪心,氧气、床位短缺,露天火葬......据印度卫生部5月11日公布的数据显示,目前新冠肺炎总体感染人数累计超2300万,死亡人数达25.4万,过去的24小时里,印度新增新冠肺炎确诊病例329942例,单日新增确诊病例已经连续20天保持在30万例以上,印度南部的疫情非常严重,而位于印度南部泰米尔纳德邦,Tamil...。
在当下游戏市场中,创业进入手游行业是一个不错的选择,为什么这么说呢,游戏行业近年来销售额逐年递增,游戏也占满了人们生活的方方面面,AppAnnie发布的2020年全球移动游戏报告显示,合计AppStore和GooglePlay应用商店支出,用户在游戏上支出超过167亿美元,约合人民币1180亿元,AppAnnie表示,2020年2月...。
发表在专业问答2022,1,3012,18展示机型信息,品牌型号,自制投影仪系统版本,DOS系统自制投影仪画面不清晰的原因是画面不能完全聚焦导致的,因为自制投影仪通常较为粗糙,光源亮度也不会太高,并且采用的透镜也没有经过专业的调校打磨,所以会出现画面不清晰的情况,自制投影仪为什么画面不清晰自制投影仪画面不清晰是因为画面不能完全聚焦导致...。
