etplayer2000 wrote:
一般使用者比較不太受BUG影響
除了那些跑專業軟體的或是需要保密的工作才受影響
不然不關HT不更新補釘是沒差的
新興的電腦綁架,才不管你電腦有多機密,通通加密綁起來
要救就要付錢
這種硬體上的bug,就怕真的有組織的針對漏洞進行資料綁架。
不只是微軟,各式各樣、各家的應用程式,都會有人、機構、企業、黑/白帽駭客等等的去找漏洞出來
大部分都會依照「遊戲規則」通報廠商,廠商會有一段時間修補漏洞、釋出更新
(黑帽就不會通報啦,就會開採其漏洞)
然後漏洞的發現者(人/機構/研究單位/公司等等)可以在時段後公布發現的漏洞
所以這些漏洞已經變成「已知」的公開資訊
既然是公開資訊,一些駭客還是會拿來利用,寫成惡意軟體,用各種釣魚手段(像是網頁)引誘使用者
當然有的會去try通過防火牆,找個宿主偷偷作業(實務上很多)
--------------------------------
像是微軟定期發布的更新,就讓使用者盡速將漏洞修補起來
如果不修補,當然還是可以繼續用,只是漏洞還是存在,使用者又被釣魚釣到,就種惡意程式(或病毒)了
近期最著名的例子,就像2017年5月,短時間就有相當多的用戶(公司)中想哭病毒,這就是想哭病毒就是利用2016年中的漏洞去寫的,所以緊急對策就是建議用戶至少要更新到2016/9月的安全性更新
(根據微軟官方的線上說明會說的)
一堆人(尤其是公司,還有上市櫃的)都不更新,就只有想哭的份了
kingjehau wrote:
這句話雖然是事實但0...(恕刪)
問題是針對這幾個漏洞的攻擊,
是不需要人發動的,
這幾個硬體漏洞不擋起來,
使用者自己就會不知不覺提供資料給他們,
不需付出多少成本,
花時間破解單一電腦與植入後門的做法,
太不符合經濟效益。
這幾個硬體漏洞的危險性,
在於有太多種利用方式,
光是Javascript可以取資料就很難擋,
舉例來說:
1.瀏覽器上網
利用網站隱藏成廣告或是站台本身夾帶,
只要播放到相關廣告或網頁程式碼,
就回傳資訊,
所以Google Chrome才會馬上出新版擋,
但光是瀏覽器根本不夠,
因為會用到作業系統跟微代碼更新後的防堵機制,
不更新沒救。
2.服務平臺:
利用遊戲服務上傳開發的模組,
使用者安裝後,
模組裡加轉資料功能給其他公開站台,
平台服務跟防毒軟體掃描不會也不能擋,
只能透過發現後封鎖公開平台的帳號,
通常很緩慢。
駭客還可以在收到警告後修改,
而且有在遊戲平台購買的人是最佳目標,
因為表示有信用卡等資料洩漏的可能性。
。
內文搜尋
從 APP 打開
X