主要網路安全公司 Bitdefender 和 Trend Micro 釋出了緊急更新通知,以解決其軟體產品中的嚴重漏洞。如果不及時修復,這些漏洞可能會使使用者面臨嚴重的安全風險。
發現多個漏洞
Bitdefender 的旗艦產品之一 Bitdefender Total Security 被發現存在五個與其 HTTPS 掃描功能相關的漏洞。這些中間人(MITM)漏洞可能允許攻擊者攔截和操縱使用者與網站之間的通訊,從而可能洩露敏感資料。
這些問題源於在幾種情況下不當的證書驗證,包括:
- 未能正確檢查缺少伺服器身份驗證規範的證書
- 錯誤處理使用 MD5 和 SHA1 碰撞雜湊函式的證書
- 信任利用基本約束擴充套件的未授權實體
- 不當信任使用 DSA 簽名演算法的證書
- 接受未經適當驗證的自簽名證書
與此同時,Trend Micro 的 Deep Security Agent 軟體被發現存在本地許可權提升漏洞。由於身份驗證控制不足,這個漏洞可能允許普通使用者獲得管理員或系統級別的訪問許可權。
需要立即採取行動
兩家公司都強烈敦促客戶立即更新他們的軟體:
- Bitdefender Total Security 使用者應確保執行 27.025.115 或更新版本
- Trend Micro Deep Security Agent 使用者需要更新到 20.0.1-17380 版本
這些更新通常可以透過自動更新功能獲得,或從各公司網站下載最新版本。
更廣泛的影響
在知名安全軟體中發現這些漏洞尤其令人擔憂。使用者依賴這些產品來保護他們的系統免受威脅,但如果不及時更新,這些本應提供安全保障的工具反而可能引入新的風險。
這種情況凸顯了及時應用安全補丁和更新的關鍵重要性,即使是對於受信任的安全應用程式也是如此。它還突顯了軟體開發人員在不斷演變的威脅環境中維護強大安全措施所面臨的持續挑戰。
隨著網路攻擊的頻率和複雜性不斷增加,保持警惕並確保所有軟體(尤其是安全工具)保持最新狀態,仍然是使用者保護自己免受新興威脅的最有效方法之一。