【51CTO.com 独家翻译】2008年1月16日消息,据国外媒体报道,安全专家日前揭示了一个存在于大部分家用路由器当中的设计缺陷。攻击者利用这个缺陷,可以使连接路由器的计算机自动登陆恶意网站,从而实现对此计算机的远程控制。
这个设计缺陷使黑客可以把受害电脑引到欺诈网站,这些网站通常都伪装成银行,电子商务公司或者卫生保健组织这样的可靠网站。即使用户更改了路由器的默认密码,这个漏洞也还是会被利用。只要它安装了近期版本的Adobe Flash,即使计算机的浏览器与设备的操作系统在运行当中,它还是会起作用。
Adrian Pastor为著名的黑客组织GNUCitizen工作,他在即时消息中说“这是一个巨大的问题”,这个问题存在于“通用即插即用”当中,一个安装在大部分家庭网络路由器当中的部件,有了它,电脑游戏,即时消息程序和其他应用程序就会完美地运转。通过将一个终端用户暴露于潜伏在网站内的恶意Flash文件之下,黑客就能用“通用即插即用”来对路由器做修改。
黑客对路由器所做的最严重的修改是用来进入网站的服务器所做的更改。这就可能使受害电脑进入eBay或美国银行来看那些能盗取受害者登录凭证的欺诈网页。
这个攻击手段也可以使黑客打开被攻击路由器的端口。通过转换端口到一个外部服务器上,这对于把路由器转换成僵尸机器很有用处,
研究人员说,这个缺陷不是一个Flash内的安全漏洞,它是不需要验证的“通用即插即用”的设计缺陷。使用任何平台和浏览器的电脑都会改变路由器的设置,只要它们运行的是version 8或更高版本的Flash。
研究人员说,Linksys, Dlink和SpeedTouch生产的路由器已经被确定有漏洞,其他厂家的产品也很有可能受到攻击。大部分路由器通过默认方式启动“通用即插即用”。唯一防止攻击的方法就是关闭这个部件,对某些设备可行,但对某些设备是不可行的。
【51CTO.COM 独家翻译,转载请注明出处及译者!】
|
· 统一接入控制(UAC)部.. · 利用统一接入控制方案.. · 维维集团采用深信服上.. · 如何使用Nikto漏洞扫描.. · J0ker的CISSP之路:系.. · J0ker的CISSP之路:复.. |
· 浅谈国内的渗透评估过程 · 广西公安厅部署深信服.. · 沈阳大学部署深信服AC.. · 求助如何exchange2003.. · 黑客的社会工程攻击新.. · Cisco路由器技术基础知.. |
|
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|
|||
| · SOA 面向服务架构 · 子网掩码教程 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · 深入了解PGP加密技术 · MySQL数据库备份 · VPN技术 |
· 病毒查杀专题 · Solaris 10 配置管理 · Linux 基础 · Linux防火墙 · SSL VPN详细知识 · 路由器设置与口令恢复 · 打造安全服务器 · Linux 集群技术专题 |
||
|
|||
| · VPN技术 · SQL Server入门到精通 · SOA 面向服务架构 · 子网掩码教程 · 三层交换技术专题 · Windows远程桌面应用 · MySQL数据库备份 · 身份认证技术 |
· 病毒查杀专题 · SSL VPN详细知识 · Sniffer安全技术从入门.. · 常用交换机典型配置 · Linux 集群技术专题 · VPN技术 · 路由器设置与口令恢复 · Linux 基础 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 朱先忠精选文章.. 推荐阅读 |
|
| ·ASP.NET 2.0 Web Part编.. ·ASP.NET 2.0 Web Part编.. |
·ASP.NET 2.0 Web Part编.. ·ASP.NET 2.0服务器控件之.. |
| 翟胜军 的博客 |
|
| ·互联网送给我们的---“平.. ·P2P网络“自由”穿越NAT.. |
·P2P网络的结构学习 ·业务脆弱性评估是业务持.. |
| 杨文飞 的博客 |
|
| ·08第2周回顾:07年华为收.. ·08第1周回顾:TCP/IP协议.. |
·办理驾驶证降级攻略 ·12月29日上午51CTO.com访.. |
| 组网建网 |
安全频道 |
| · 华为2008市场攻略 240亿.. · 全面细致讲解企业内部组.. · 2007年电信业热点回顾 .. |
· 浅谈国内的渗透评估过程 · VPN安全技术与应用 · 企业如何进行计算机取证.. |
| 编程频道 |
前沿技术 |
| · IDC:2008年IT市场10大.. · Visual Studio 2005开发.. · 测试开发人员参考手册 |
· 年初17大热门技术 年底.. · 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · IBM和Sun起争议 坚持不.. · 让Ubuntu"傻"的更彻底! .. · 微软卖Linux狂赚数百万 |
· 中小企业刀片市场将达20.. · IT人员应当了解的七个存.. · IDC:2008年IT市场10大.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· IT人员应当了解的七个存.. · 希捷承认部分硬盘暗藏病.. · 硬盘之父获得诺贝尔物理.. |
相关 
