您的位置: 网界网 > 周报全文 > 正文

[周报全文]谨防无线驱动程序漏洞

2006年08月22日 15:37:43 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:对于无线网络,我们关注应用级别上的安全问题远多于驱动程序,而后者由于其靠近系统内核的特殊性,安全漏洞所造成的损失往往更加致命。

标签
驱动漏洞
WLAN
 

对于无线网络,我们关注应用级别上的安全问题远多于驱动程序,而后者由于其靠近系统内核的特殊性,安全漏洞所造成的损失往往更加致命。

在今年夏天召开的黑帽大会上,802.11驱动程序安全漏洞成为重要的议题之一,这类漏洞甚至可以在用户没有连接到网络的情况下给电脑造成影响。

内核级缺陷最危险

所有的现代操作系统(如LinuxBSDWindowsMac OS X)都采取了类似的基本安全措施,那就是将内核与用户代码完全隔离开来。内核是操作系统与控制进程、硬盘访问以及硬件访问的核心,虽然应用程序通常被阻止访问其他程序的内存或直接控制硬件,但内核并不存在这种限制。因此,处在内核级的安全漏洞相当危险,运行在内核中的恶意代码具有对系统进行完全控制的能力。一种叫做“Root Kits”的病毒就可以修改内核代码来隐藏文件,以此躲避杀毒软件的扫描、隐藏运行的程序不让用户看到以及记录鼠标或键盘的输入情况。Root Kits已经成为一个越来越可怕的恶意软件。

设备驱动程序也是内核级的应用,网络设备驱动程序在处理不安全的远程数据时尤其面临风险,那些用来处理远程数据包的程序中的任何缺陷都可能导致系统崩溃,更糟的情况还在于,这种代码也是在内核级上被执行的。

不过,远程驱动程序的缺陷一般比较少见,而且一旦厂商发现也可以很快修补。但内核层漏洞就不一样了,如果厂商不进行及时升级,这种漏洞是很难防范的。因为杀毒软件一般运行在内核层之外,而防火墙软件只能防止TCP/IP端口上的连接,不能防范无线层上的安全漏洞。802.11管理包本身并不包含IP传输流数据,而且也不传送给无线层(+本站微信networkworldweixin),但处理管理内容的驱动程序中存在的缺陷就可能导致可利用的安全漏洞。

及时发现做好预防

有很多方法可用来发现安全漏洞,最流行的方法是“模糊”法。模糊算法是一种智能的穷举算法,它提供足够大的结构来生成看起来有效但域中实际内容由随机数据填充的数据包。模糊法的应用不仅限于无线协议,同时它一直被内部开发人员和安全研究人员用来测试软件对不同类型无效数据的响应,是一项十分有用的技术。

幸运的是,无线驱动程序缺陷所造成的风险可以被减小到最低程度,暴露于风险的窗口期极其有限。并且,与攻击Internet服务器的攻击者不同的是,无线网络攻击者必须处在被攻击者的无线覆盖范围之内。此外,尽可能一直运行无线网卡的最新版驱动程序,因为它们可能包含修补这些安全漏洞的补丁。如果说存在终极的防御措施的话,那就是在不使用无线网络时关掉无线网卡。(美国《Network World》供本报专稿)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]