微软赶在本周二补丁日之前紧急发布了大量漏洞补丁，数量规模创下历史新高，其中一个高危漏洞（CVE-2014-6332）存在于IE浏览器的安全隧道（Schannel）层，也就是SSL和TLS安全协议的部署层，这个漏洞可以让攻击者远程完全控制主机并执行代码。

发现该漏洞的IBM X-Force团队主管Robert Freeman本周二在博客中指出，微软IE浏览器的SSL高危漏洞至少从windows 95开始就存在于微软的桌面操作系统中，“洞龄”迄今已经超过18年。

通过这种远程代码执行漏洞，黑客可以在目标主机中安装恶意软件，从事各种非法活动，例如键盘记录、屏幕摄录、信息窃取等。

值得注意的是，微软本周爆出高危SSL/TLS漏洞之前，包括谷歌(SSL3.0“贵宾犬”漏洞，洞龄15年）苹果（gotofail安全漏洞）、OpenSSL（心脏出血漏洞，洞龄12年）、LibreSSL（伪随机数生成器缺陷）GnuTLS（应用于GNOME等处）以及Mozilla火狐浏览器的NSS漏洞今年先后爆出SSL/TLS安全协议漏洞，而且这些致命的漏洞无所不在，而且“洞龄”短则数年，长则十数年，潜伏之久令人发指。

斯诺登曾指责NSA操控SSL/TLS标准，蓄意弱化安全协议标准，但NSA如何对互联网安全基础协议和标准进行渗透和操控？是否在SSL /TLS、802.11i、IPSec等基础安全协议和标准中留下“蓄意缺陷”，从而达到其大规模破解和监控的目的？这依然是业界不可言说的“阴谋论”。

其实早在心脏出血漏洞爆发时，Vox公司的Tim Lee就曾在博客中指出，OpenSSL的漏洞对NSA这样的情报部门来说更有价值，NSA与运营商和互联网服务商存在合作关系，可从互联网骨干网大规模解密OpenSSL加密的数据。

如果说Tim的阴谋论还仅仅是一种假设，那么，随着苹果、谷歌、火狐以及微软等用户基数极为庞大的“棱镜”公司的HTTPS基础安全机制接连发现致命漏洞，任何一位神志清醒的专家都不会认为这是巧合。

正如开源大师，FreeBSD作者Poul-Henning Kamp在Twitter上怒不可遏的控诉：

一个SSL漏洞是错误，两个是事故，三个是蓄意破坏。

苹果、OpenSSL+微软=一屋子的NSA

稿源：安全牛

新闻转自OSchina：0f3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3!0K6j5$3S2A6L8X3q4Q4x3X3g2F1k6i4c8Q4x3V1k6F1k6i4N6K6i4K6u0r3y4e0j5&6z5o6q4Q4x3V1k6E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3c8X3K9i4S2Q4x3X3b7I4z5q4)9J5k6s2W2W2j5i4u0K6i4K6u0V1j5Y4g2Y4
发布于： 2014年11月13日

[培训]科锐逆向工程师培训第53期2025年7月8日开班！