根据360安全中心的最新数据,自1月29日360针对瑞星的两个本地提权漏洞紧急为用户提供补丁以来,截至2月3日下午3点,5天之内共计有523万人次的补丁下载。同时,360安全中心监测到,已经为瑞星杀毒软件的用户拦截了数十万次漏洞攻击。
1月23日,由于瑞星公司迟迟未修复波兰安全组织NT Internals密报给瑞星的两个“本地提权”漏洞,该组织按行规将漏洞信息在官网曝光。对此,瑞星先是声明称早就“彻底修复了两个漏洞”,谎言被揭穿后,又再度发声明改称“用户在上网时不会受到这种漏洞影响”。
但瑞星的说法遭到NT Internals、南京大学计算机系软件小组和360公司的共同质疑。1月28日,NT Internals再度发公告确认“瑞星并未修复漏洞”。同日,南京大学计算机系软件小组经验证认为瑞星仍存在漏洞。而360安全中心为保护用户安全,更于29日紧急发布了修补瑞星漏洞的临时补丁。
安全专家介绍,“本地提权”漏洞是一种高危漏洞,通过它黑客可以关闭所有安全软件的保护,突破WINDOWS权限限制。如果政府和企业网站受到此类漏洞攻击,很可能会使黑客渗透到内网中。而瑞星的漏洞是“本地提权”漏洞中危害程度最大的“内核提权”漏洞。内核提权漏洞一旦被触发,攻击者就可以操纵系统一切可以操纵的资源,做任何想做的事情,没有任何安全措施可以阻止。
截至目前,瑞星公司仍未向用户说明漏洞的真正危害,也没有提供临时解决方案,更没有披露何时才能真正修复漏洞。
瑞星“本地提权”漏洞门事件回放
1、2008年9月,波兰安全组织NT Internals发现瑞星杀毒软件中存在一个“本地提权”0day漏洞,并秘密报告瑞星公司;相关链接:http://www.NTInternals.org/ntiadv0805/ntiadv0805.html
2、2009年4月,NT Internals发现瑞星杀毒软件中存在第二个“本地提权”0day漏洞,并秘密报告瑞星公司;相关链接:http://www.NTInternals.org/ntiadv0902/ntiadv0902.html
3、2010年1月23日,瑞星一直未能修复两个漏洞,NT Internals将漏洞信息在其官网曝光;
2010年1月28日,瑞星发表声明称“早在2009年5月就对两个漏洞进行了彻底修复”;相关链接:http://www.rising.com.cn/about/news/rising/2010-01-28/6530.html
4、2010年1月28日,南京大学计算机系软件小组经验证认为瑞星仍存在漏洞;相关链接:
http://techer.2009.blog.163.com
5、2010年1月29日,360安全中心发布瑞星漏洞临时补丁;相关链接:http://bbs.360.cn/4271460/34656173.html
6、2010年1月29日,瑞星再发声明承认产品存在漏洞,但同时认为“瑞星用户在上网时不会受到这种漏洞影响,在实际应用中极难被利用来进行远程攻击”。而此时,网上针对瑞星漏洞的攻击代码已大量流传。相关链接:
http://www.rising.com.cn/about/news/rising/2010-01-29/6553.html
7、2010年1月29日,波兰安全组织NT Internals发公告《瑞星杀毒软件2008/2009/2010是否还有漏洞?》,再度确认28日从瑞星中文官网下载的瑞星2010最新版仍存在同一漏洞。同时公布了部分利用代码RsNTGdi_Exp.zip,并称“从瑞星2010版上又找到了一个新漏洞。”