根据 CyberScoop 的报道,最近对开放源代码 curl 和 libcurl 的 两个安全漏洞 的威胁程度进行了重新评估。这些漏洞的实际威胁远低于之前的看法,特别是涉及到 curl 与 SOCKS5 代理的更严重漏洞,仅在用户通过 Tor 访问恶意 HTTPS 网站的情况下,才有可能被利用。ForAllSecure 的首席执行官、卡内基梅隆大学的网络安全教授 David Brumley 表示:“攻击者能扫描整个互联网并攻击所有运行漏洞版本的人,这种情况与用户仅在访问恶意网站时才可能被利用的情况是有很大区别的。”
此外,SANS 技术学院的研究主任 Johannes Ullrich 还提到,受 curl 和 libcurl 漏洞影响的系统更容易受到其他简单漏洞的攻击。“如果你接受数据,却不对其进行验证,然后盲目地将其传递给像 curl 这样的库,那么你可能会面临更容易被利用的其他问题。” Ullrich 说道。
备注:建议用户在使用 curl 和 libcurl 时,始终确保对输入的数据进行验证,从而降低系统受到攻击的风险。
上海市共和新路1968号8幢10楼
