研究人员揭示卡巴斯基和FireEye的零日漏洞

卡巴斯基实验室和FireEye产品中的主要漏洞可能允许恶意攻击者侵入用户的计算机。两位安全研究人员周末发现并披露了这些问题。谷歌的Tavis Ormandy发现了一个漏洞，他将其描述为“默认配置中的远程，零交互系统漏洞利用。所以，就像它一样糟糕”，并称它“在[版本] 15和16上运行良好”。黑客可能很容易利用这个漏洞来破坏卡巴斯基客户的系统。

卡巴斯基实验室在一份声明中告诉IT专业人员：“我们要感谢Tavis Ormandy先生向我们报告了一个缓冲区溢出漏洞，我们的专家在披露后24小时内修复了该漏洞。修复程序已通过自动更新分发给我们我们所有的客户和客户。“

“卡巴斯基实验室一直支持独立研究人员对我们解决方案的评估。他们不断努力帮助我们使我们的解决方案更强大，更高效，更可靠，”该公司总结道。独立信息安全顾问Kristian Erik Hermansen发现了四个FireEye漏洞。在他公开的情况下，未经授权的远程根文件系统访问漏洞可能允许黑客泄露敏感的公司文件。

Hermansen周日透露了这个漏洞，声称FireEye无法报告漏洞。“令人遗憾的是，Hermansen发布了概念验证代码，展示了如何触发漏洞，” 安全研究员Graham Cluley说。据说所有[四]都在出售。“

FireEye在一份声明中告诉 IT专员：“我们感谢像Kristian Jermansen和Rom Perrise这样的安全研究人员努力寻找潜在的安全问题并帮助我们改进产品，但始终鼓励负责任的披露。”“FireEye有一个记录在案的政策，供研究人员负责地披露并告知我们潜在的安全问题。我们已经与研究人员联系，讨论这些潜在的安全问题，以便快速确定并潜在地修复和影响我们平台的安全性， “该公司补充道。