卡巴斯基火眼雙雙遭遇零日漏洞

本文講的是卡巴斯基、火眼雙雙遭遇零日漏洞，谷歌一名安全研究員塔維斯·奧曼迪，上週在推特上披露了卡巴斯基防病毒軟體中的乙個漏洞，利用此漏洞可繞過卡巴斯基2015、2016版防病毒產品，入侵使用者的計算機系統。

「乙個遠端的無需互動的系統級漏洞，預設設定。所以，（情況）要多嚴重有多嚴重。」

奧曼迪並未透露漏洞細節，但卡巴斯基官方表示這是乙個緩衝區溢位漏洞，並在確認漏洞提交的24小時之內，發布了修復補丁。

另外一名安全研究人員，克里斯蒂安·埃瑞克上週公布了火眼核心產品中的乙個零日漏洞的細節。埃瑞克表示，他於18個月前提交的這個可以遠端獲得root檔案系統訪問許可權的漏洞。而且，埃瑞克還表示，另外有3個漏洞，僅供**。埃瑞克給這些漏洞開出的**是1萬美元/個。

夠酷，web伺服器以root許可權執行！這就是安全廠商所幹的安全漂亮事

「這只是火眼/曼迪安特許多零日漏洞之一。坐等18個月了，這些火眼的安全『專家』還是沒有解決。」

埃瑞克表示，如果火眼不修復這些問題的話，他們的產品就不值得信任。尤其是對於安全廠商來說，安全標準應該更高。

火眼針對此事已發布公開宣告。宣告表示，感謝埃瑞克這樣的安全研究人員找到漏洞並幫助改善安全產品，但希望漏洞研究人員要負責任的披露相關資訊。

「我們已經聯絡研究人員，以迅速判定問題，並努力減少對我們平台和客戶安全的影響。」

卡巴斯基 火眼雙雙遭遇零日漏洞