[[122611]]

微軟趕在本周二補(bǔ)丁日之前緊急發(fā)布了大量漏洞補(bǔ)丁，數(shù)量規(guī)模創(chuàng)下歷史新高，其中一個高危漏洞（CVE-2014-6332）存在于IE瀏覽器的安全隧道（Schannel）層，也就是SSL和TLS安全協(xié)議的部署層，這個漏洞可以讓攻擊者遠(yuǎn)程完全控制主機(jī)并執(zhí)行代碼。

發(fā)現(xiàn)該漏洞的IBM X-Force團(tuán)隊主管Robert Freeman本周二在博客中指出，微軟IE瀏覽器的SSL高危漏洞至少從windows 95開始就存在于微軟的桌面操作系統(tǒng)中，“洞齡”迄今已經(jīng)超過18年。

通過這種遠(yuǎn)程代碼執(zhí)行漏洞，黑客可以在目標(biāo)主機(jī)中安裝惡意軟件，從事各種非法活動，例如鍵盤記錄、屏幕攝錄、信息竊取等。

值得注意的是，微軟本周爆出高危SSL/TLS漏洞之前，包括谷歌(SSL3.0“貴賓犬”漏洞，洞齡15年）蘋果（gotofail安全漏洞）、OpenSSL（心臟出血漏洞，洞齡12年）、LibreSSL（偽隨機(jī)數(shù)生成器缺陷）GnuTLS（應(yīng)用于GNOME等處）以及Mozilla火狐瀏覽器的NSS漏洞今年先后爆出SSL/TLS安全協(xié)議漏洞，而且這些致命的漏洞無所不在，而且“洞齡”短則數(shù)年，長則十?dāng)?shù)年，潛伏之久令人發(fā)指。

斯諾登曾指責(zé)NSA操控SSL/TLS標(biāo)準(zhǔn)，蓄意弱化安全協(xié)議標(biāo)準(zhǔn)，但NSA如何對互聯(lián)網(wǎng)安全基礎(chǔ)協(xié)議和標(biāo)準(zhǔn)進(jìn)行滲透和操控？是否在SSL /TLS、802.11i、IPSec等基礎(chǔ)安全協(xié)議和標(biāo)準(zhǔn)中留下“蓄意缺陷”，從而達(dá)到其大規(guī)模破解和監(jiān)控的目的？這依然是業(yè)界不可言說的“陰謀論”。

其實早在心臟出血漏洞爆發(fā)時，Vox公司的Tim Lee就曾在博客中指出，OpenSSL的漏洞對NSA這樣的情報部門來說更有價值，NSA與運營商和互聯(lián)網(wǎng)服務(wù)商存在合作關(guān)系，可從互聯(lián)網(wǎng)骨干網(wǎng)大規(guī)模解密OpenSSL加密的數(shù)據(jù)。

如果說Tim的陰謀論還僅僅是一種假設(shè)，那么，隨著蘋果、谷歌、火狐以及微軟等用戶基數(shù)極為龐大的“棱鏡”公司的HTTPS基礎(chǔ)安全機(jī)制接連發(fā)現(xiàn)致命漏洞，任何一位神志清醒的專家都不會認(rèn)為這是巧合。

正如開源大師，F(xiàn)reeBSD作者Poul-Henning Kamp在Twitter上怒不可遏的控訴：

一個SSL漏洞是錯誤，兩個是事故，三個是蓄意破壞。

蘋果、OpenSSL+微軟=一屋子的NSA