根据乌云漏洞平台最新发布的漏洞信息显示,百度广告管家存在审核流程漏洞,可以被攻击者在百度服务器植入恶意脚本。其后果是,网民在浏览百度广告时,电脑会遭到网页挂马攻击,频繁弹出广告和********页面。目前,百度官方确认该漏洞存在,并表示其安全组与相关业务部门将着手处理此问题。 据悉,这已是短短半个月内百度服务器被第二次植入恶意脚本。11月23日,乌云白帽子“Pentest.mobi”就曝光过百度服务器被植入恶意脚本,并通过百度联盟网站广告劫持用户路由器DNS的重大安全漏洞。当时百度官方回应称并非黑客入侵所为,而是“个别广告主在其广告展现中插入违规js导致”。但从近日来仍有不少用户登陆百度联盟广告所覆盖网站时遭受恶意脚本攻击的事实来看,显然9天时间过去,百度官方并未能修复该安全漏洞。 分析认为,“如果百度广告服务器的漏洞被黑客利用,相当于该服务器变成了‘毒源’,黑客通过广告代码投毒,可轻松将恶意脚本大面积植入百度联盟网站广告上,将导致数亿网民访问百度广告联盟旗下网站时,就会被篡改路由器DHCP服务DNS和管理密码的安全事故。 由于百度联盟旗下网站多达数十万家,覆盖大多数国内网民,这也意味着如果黑客利用恶意代码成功入侵用户路由器后,可轻松篡改DHCP服务劫持DNS,进而弹出广告和钓鱼欺诈信息危害用户,成了随时威胁用户财产安全的“飞来横祸”。 安全人员亦建议,在百度彻底杜绝漏洞潜在威胁之前,应尽量避免访问被百度广告联盟覆盖的相关网站,并使用具备防挂马功能的专业安全软件,以免电脑中招。
|