Java原子组件和同步组件
|
这个漏洞是由乔治亚理工系统软件与安全实验室的团队在春季Pwn2Own竞赛中报告的,该漏洞同时也是一条有趣漏洞利用链(与Webkit的类型混淆问题有关)的一部分。由于这个漏洞,Safari将具备执行“.app”符号链接的能力,这是由OpenGL的CVM(核心虚拟机)中的堆溢出漏洞所导致的。此外,由于竞争条件的存在,将有可能在cfprefsd和kextload中实现root访问或权限提升。研究人员在Pwn2Own上成功演示了该漏洞,并赢得了七万美金的漏洞奖励。这个漏洞的利用场景比较可怕,因为当一个毫无防备的受害者在访问一个简单的网页时,这一切他都是毫不知情,因为浏览网页10秒后,恶意代码将会在目标用户的设备上运行,一切都是在后台悄悄完成的。 个漏洞是由ZDI漏洞研究人员Lucas Leong发现的,ESXi是由VMWare开发的企业级管理程序,ESXi中默认启用的协议之一是服务位置协议(SLP)。SLP是一种使客户端能够发现网络服务的协议,目前最流行的SLP实现就是OpenSLP了。然而,Lucas发现ESXi使用的是他们自己的定制实现方式。重要的是,这个自定义实现中存在设计缺陷,从而导致了两个严重的安全问题出现。其中一个安全问题将导致程序在SLPDProcessMessage()中释放SLPMessage对象,但是该程序仍会在SLPDatabase结构中保留对已释放对象的引用。这也就导致了用后释放(UAF)的情况出现,而远程攻击者将能够通过网络来触发并利用该漏洞。这个漏洞最初被标记为了ZDI-CAN-11563。但是,VMWare所提供的安全补丁并没有完全解决这个问题,这便导致了ZDI-CAN-12190的出现。应该注意的是,除了可以远程利用之外,这些SLP问题还可以被攻击者利用来帮助在受限环境中运行的程序实现沙箱逃逸。这也足以证明,即使是经过大量研究的产品,比如说ESXi,也有可能存在严重的攻击面,这些攻击面往往容易被忽视,因此存在较严重的安全风险。 工信部指出,《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》印发以来,在各方共同努力下,我国工业互联网发展成效显著,2018-2020年起步期的行动计划全部完成,部分重点任务和工程超预期,网络基础、平台中枢、数据要素、安全保障作用进一步显现。 2021-2023年是我国工业互联网的快速成长期。《行动计划》提出了发展目标,即到2023年,工业互联网新型基础设施建设量质并进,新模式、新业态大范围推广,产业综合实力显著提升。 具体看,新型基础设施进一步完善。覆盖各地区、各行业的工业互联网网络基础设施初步建成,在10个重点行业打造30个5G全连接工厂。标识解析体系创新赋能效应凸显,二级节点达到120个以上。打造3~5个具有国际影响力的综合型工业互联网平台。基本建成国家工业互联网大数据中心体系,建设20个区域级分中心和10个行业级分中心。 融合应用成效进一步彰显。智能化制造、网络化协同、个性化定制、服务化延伸、数字化管理等新模式新业态广泛普及。重点企业生产效率提高20%以上,新模式应用普及率达到30%,制造业数字化、网络化、智能化发展基础更加坚实,提质、增效、降本、绿色、安全发展成效不断提升。 技术创新能力进一步提升。工业互联网基础创新能力显著提升,网络、标识、平台、安全等领域一批关键技术实现产业化突破,工业芯片、工业软件、工业控制系统等供给能力明显增强。基本建立统一、融合、开放的工业互联网标准体系,关键领域标准研制取得突破。 产业发展生态进一步健全。培育发展40个以上主营业务收入超10亿元的创新型领军企业,形成1~2家具有国际影响力的龙头企业。培育5个国家级工业互联网产业示范基地,促进产业链供应链现代化水平提升。
安全保障能力进一步增强。工业互联网企业网络安全分类分级管理有效实施,聚焦重点工业领域打造200家贯标示范企业和100个优秀解决方案。培育一批综合实力强的安全服务龙头企业,打造一批工业互联网安全创新示范园区。基本建成覆盖全网、多方联动、运行高效的工业互联网安全技术监测服务体系 (编辑:平顶山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
