- UID
- 1
- 精华
- 积分
- 76365
- 威望
- 点
- 宅币
- 个
- 贡献
- 次
- 宅之契约
- 份
- 最后登录
- 1970-1-1
- 在线时间
- 小时
|
来源:http://www.vbasm.com/blog-4158-60.html
声明:本文说的漏洞,特指跟操作系统、软件有关的漏洞,不是WEB方面的漏洞(比如因为权限配置错误导致被“脱库”)。
最近看到一些新闻,说各种漏洞如何牛逼,仿佛目前的安全体系不堪一击等。其实吧,这种忽悠一些老百姓还行,忽悠真正“注意安全”的人就没啥用了。很多漏洞发现者的思路大概是这样子:通过漏洞,从低权限获得高权限,甚至是系统的最高权限,然后就可以为所欲为了(比如盗窃信息等)。然而这些漏洞发现者在思维上却也有一个巨大的漏洞:我的东西是跑在别人的HOST系统上的。然而如果HOST系统只是一个安装虚拟机的平台,任何操作都在虚拟机里执行呢(包括上网、看视频、看PDF等)?那就做不到最后一步“为所欲为”了。也就是说,利用漏洞的最终目的没有达到。
目前漏洞频发的的组件,个人认为,一个IE(或者说是所有的浏览器),一个是FLASH(或者是PDF组件之类的第三方插件)。这俩东西我是绝对不会安装到HOST系统的,只会在低安全等级的GUEST系统(虚拟机)里安装,而“低安全等级的GUEST系统”是没有任何敏感信息的,随便获得任何权限。而且就算被感染上了,只要恢复一下快照,各种辛辛苦苦进来的“牛鬼蛇神”会立马消失。
所以说,要想影响到真正“注意安全”的人,必须先找到一个能穿透VMWARE的漏洞。然而这种漏洞似乎不存在——只能找找寥寥几篇报道,而且语焉不详。
|
|