根據美國國家標準與技術研究所收集的關于常見漏洞(CVE)的數據分析，2020年全球的安全漏洞報告比以往任何一年都多。

托管安全服務提供商Redscan的報告顯示，僅2020年報告了18,103個漏洞，其中大多數被列為高度嚴重級別，占比達57.1%。實際上，2020年披露的高嚴重性和嚴重漏洞數量超過了2010年披露的漏洞總數。

安全專業人士擔心，在2020年記錄的漏洞中，有三分之二以上不需要任何形式的用戶交互。利用這些漏洞的攻擊者甚至不需要其目標就可以在不知不覺中執行操作，例如單擊電子郵件中的惡意鏈接。

雜志社梳理了3-5月重大安全漏洞事件，這些事件不僅給企業帶來數據資產的嚴重損失，還帶來了巨大的社會影響。

01  英特爾、AMD CPU再曝高危漏洞  數十億計算機受影響

披露時間：2021年5月初

漏洞類型：幽靈漏洞。幽靈漏洞的核心是定時邊信道攻擊，它打破了不同應用程序之間的隔離，并利用了CPU硬件實現中一種稱為推測執行的優化方法，誘使程序訪問內存中的任意位置，從而泄漏其秘密。

漏洞危害：泄漏用戶秘密。

影響范圍：5月4日，戴爾公司自曝其上億臺電腦的固件升級驅動中存在一個長達12年的漏洞(已修復)。5月6日，英特爾、AMD等處理器巨頭的處理器芯片再次發現新的高危漏洞。

專家觀點：現代處理器中普遍存在的的熔斷漏洞(Meltdown)和幽靈漏洞(Spectre)由于難以修復，幽靈漏洞將困擾我們相當長的時間。

02  高通芯片高危漏洞影響全球40%手機

披露時間：2021年5月初

漏洞類型：緩沖區溢出漏洞(CVE-2020-11292)。要利用CVE-2020-11292漏洞并控制調制解調器，從應用程序處理器中進行動態更新，攻擊者需要利用高通手機芯片中的Qualcomm MSM軟件接口(QMI)中的一個堆溢出漏洞。

漏洞危害：攻擊者可以利用該漏洞獲取使用手機用戶的短信、通話記錄、監聽對話甚至遠程解鎖SIM卡!更可怕的是，該漏洞的利用無法被常規系統安全功能檢測到。

影響范圍：高通MSM芯片包含2G、3G、4G和5G功能的一系列片上系統(SoC)，全部都存在該高危漏洞。目前全球約40%的手機都使用了MSM芯片，其中包括三星、谷歌、LG、OnePlus和小米在內的多家手機供應商的產品。

專家觀點：為了保護自己免受利用此類漏洞或相關惡意軟件的攻擊，建議安卓手機用戶將設備盡快更新到最新版本的安卓操作系統。值得注意的是，高通的芯片產品近年來多次爆出高危漏洞。

03  DNS高危漏洞威脅全球數百萬物聯網設備

披露時間：2021年4月

漏洞危害：不法分子可以利用這些漏洞使目標設備脫機，或者接管控制并執行操作。訪問敏感數據，破壞生產和醫療系統，危害普通住宅安全。

漏洞類型：DNS漏洞。稱為NAME:WRECK。這些漏洞存在于四個流行的TCP/IP堆棧中，即FreeBSD、IPnet、Nucleus NET和NetX，這些堆棧通常存在于流行的IT軟件和IoT/OT固件中，影響全球數以百萬計的IoT物聯網設備。

影響范圍：WRECK漏洞將影響幾乎所有行業的組織，包括政府、企業、醫療、制造和零售業等。據悉，僅美國就有超過18萬(英國3.6萬)臺設備受到了影響。

專家觀點：除非采取緊急行動來充分保護網絡及聯網設備，否則NAME:WRECK漏洞的野外利用只是時間問題，有可能導致主要的政府數據被黑客入侵泄漏，制造業生產中斷或危及服務業客人的安全。

04  特斯拉重大安全漏洞被公開

披露時間：2021年4月

漏洞危害：先控制無人機懸停在特斯拉上方，然后通過特斯拉的一個軟件連接無人機的Wi-Fi熱點，從而入侵并控制車輛。

漏洞類型：遠程零點擊(zero-click)安全漏洞。研究人員開發的黑客攻擊程序，可以繞開密鑰卡中新改進的加密技術。研究人員表示，黑客完成第一步攻擊只需要90秒，利用特斯拉無鑰匙進入系統中的安全問題，可以成功將車輛解鎖。

影響范圍：在歐洲，發生過多起竊賊通過黑客手段盜竊特斯拉汽車的事件，其中大多數車輛都不知下落。

05  微信Windows客戶端遠程代碼執行漏洞

披露時間：2021年4月

漏洞類型：遠程代碼執行漏洞(CNNVD-202104-1003)

漏洞危害：攻擊者可以通過微信發送一個特制的web鏈接，用戶一旦點擊鏈接，微信Windows版便會執行攻擊者構造的惡意代碼，最終導致攻擊者控制用戶計算機

影響范圍：微信Windows版3.1.0.41及以下版本均受此漏洞影響。

專家觀點：目前，騰訊官方已發布最新版本修復了該漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

06  印度800萬核酸檢測結果泄露：網站漏洞  太低級

披露時間：2021年3月

漏洞危害：通過在URL 中增加或減少數字就可以看到其他人的核酸檢測結果。每份報告中都有病人的姓名、年齡、性別、家庭地址、核酸檢測結果、檢測日期、報告號、測試實驗室的位置信息等。

漏洞類型：URL漏洞。文本中URL 的結構導致可以獲取base64 編碼的報告的ID號碼(SRF ID)，base64編碼的報告號碼可以解碼為簡單的數字形式，通過在URL 中增加或減少數字就可以看到其他人的核酸檢測結果。

影響范圍：印度西孟加拉邦衛生福利部800萬核酸檢測結果報告泄露

專家觀點：建議在生成公開可訪問的URL時，應加入不可猜測的或隨機的數據位來使得無法通過枚舉來獲取信息。

07  微軟漏洞被黑客瘋狂利用，上萬企業受影響！

披露時間：2021年3月

漏洞危害：通過這些漏洞，攻擊者無需身份驗證或訪問個人電子郵件帳戶即可從Exchange服務器讀取電子郵件。而通過后面的漏洞鏈接，攻擊者則能夠完全接管郵件服務器。Exchange中出現的四個零日漏洞已經被至少10個高威脅性黑客組織注意到了，這些黑客組織已經在全球100個國家以上的超過5000臺服務器中安裝了后門程序，從而攻擊者可以簡單的通過web瀏覽器對服務器進行遠程控制。

漏洞類型：針對微軟的 Exchange Server(電子郵件服務器)的4 個重大零日漏洞，

影響范圍：全球數十萬臺Exchange服務器被攻擊，大量企業、政府部門被感染，超過6萬家組織受影響。

專家觀點：

1、將所有Microsoft Exchange服務器更新為Microsoft提供的最新補丁版本。此更新不會自動進行，需要手動執行。

2、實施復雜密碼策略，杜絕弱口令。

3、升級防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊。

4、定期異地備份計算機中重要的數據和文件，萬一中病毒可以進行恢復。

來源：信息安全與通信保密雜志社