法甲

uusee官方針對漏洞的聲明犯低級錯誤三

2020-01-27 06:17:12来源:励志吧0次阅读

uusee官方针对漏洞的声明犯低级错误, 三项补救措施无一合理

一、事件回放:

6月16日,数据安全实验室在畅游巡警用户举报的木马中,发现了利用uusee的高危0day漏洞,并在第一时间把木马样本和技术分析资料提交给uusee官方

6月17日,uusee官方发布漏洞声明在声明中仓促的宣布漏洞威胁已解决,而实际上声明中除了百般的推脱外,三项实质性的补救措施竟无一合理:

其一、软件出现漏洞后,竟没有发布紧急升级补丁和使用强制升级,而是要求全体uusee2008用户重新下载安装新版本,同时漏洞信息公开很不通明,绝大多数UUsee户蒙在鼓里

依据超级巡警团队的测试发现上大多数UUsee下载站,到目前为止依然没有把UUsee更新到最新版本,并且在UUsee软件界面上根本没有任何威胁提示登陆UUsee官方站,同样看不到任何有关漏洞的预警提示信息这样等于把绝大多数不知情的uusee用户完全暴露在危险当中uusee控件0day属于高危漏洞,可以在后台自动下载任何病毒和木马,对用户群庞大的uusee用户将造成巨大的损失

其二、曲解微软数字签名的含义,给用户带来严重误导

UUSee官方的在漏洞声明中强调禁用“已下载的没有微软签名的ActivX控件”,就可以保证用户安全而事实上包含微软数字签名只能代表文件出自软件官方换换句话说,包含有微软数字签名并不能代表软件中没有漏洞而讽刺的是UUSee2008出现漏洞的那个dll就包含有微软的数字签名

其三、开国际玩笑,推荐用“卡巴斯基”打补丁

UUsee在官方漏洞声明中包含一个用卡巴斯基扫描自己的截图,以证明自己发布新版本没有漏洞有一点安全常识的友都了解,卡巴斯基是一款杀毒软件,不具备漏洞扫描功能,也不能下载漏洞补丁,而uusee官方在漏洞声明中赫然写着推荐用卡巴斯基下载补丁

二、数据安全实验室推荐解决方案:

1、下载使用超级巡警安装uusee临时漏洞补丁,或者安装畅游巡警防御利用uusee漏洞的木马.

2、直接卸载UUsee,安装live等其他络电视

三、总结:

近期,uusee络电视获得了央视颁布的悠视经正式授权,成为指定奥运赛事P2P直播媒体而从08年安全信息界的种种迹象表明,奥运会期间的络安全问题不容懈怠希望uusee官方能够正视问题,积极解决

附:

6月16日超级巡警发布的uusee漏洞预警和解决方案:

6月17日UUsee官方发布的漏洞声明链接:

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容

特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容本站不承担此类作品侵权行为的直接及连带如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕

阳痿能否好起来
南通癫痫病医院
小儿流鼻血是怎么回事
分享到: