Kaspersky与FireEye安全产品同时遭爆重大漏洞

近日有两名安全研究人员不约而同地揭露了防毒软件产品的安全漏洞，一是安全研究人员Kristian Erik Hermansen宣称他发现FireEye产品中的4个安全漏洞。二是Google的安全工程师Tavis Ormandy在Twitter上提及Kaspersky Lab产品的漏洞。

Hermansen先公布了FireEye核心产品中的一个零时差漏洞，详述如何攻陷此一远端档案外泄漏洞，还说此一漏洞已存在超过18个月，将允许未授权的骇客远端存取FireEye装置内的档案系统。

除了此一漏洞外，Hermansen说他还发现其他3个FireEye产品漏洞，其中一个漏洞可用来绕过登入机制，另两个则属于命令注射漏洞。Hermansen并未揭露这3个漏洞的细节，而是在Twitter上公开贩售。

FireEye在得知此事后立即与Hermansen联系，并感谢研究人员挖掘潜在的安全漏洞以协助他们改善产品，但也鼓励安全研究人员遵循责任揭露准则（Responsible Disclosure）。此一准则希望安全研究人员在公布漏洞之前，先通知制造商，并给予修补缓冲期之后再对外公开。

至于之前曾因公布微软XP操作系统零时差漏洞细节而引起争议的Ormandy也是透过Twitter宣称他完成了Kaspersky产品的首个攻击程式，展示如何在远端于Kaspersky的产品中执行计算机程式，显示这可能允许骇客用来执行任何程式，而且确定该攻击程式可于Kaspersky今年与明年的新产品上运作。

Ormandy说明，这是个远端攻击漏洞，而且是完全不需要互动的系统漏洞，藏匿在预设的配置中，是个非常危险的漏洞。

Ormandy在开发出攻击程式之后才通知Kaspersky Lab，Kaspersky Lab则说这是个堆积溢位漏洞，在收到通知后已于24小时内修补完成，并透过自动更新递送给全球用户。

事实上资安产品上有安全漏洞并不是什么新鲜事，不只是FireEye与Kaspersky Lab，先前Sophos与ESET的防毒产品中也曾被发现安全漏洞。（编译/陈晓莉）