2014年实可谓是中国信息安全元年，这一年里信息与网络安全领域里发生了很多重大事件。最重要的莫过于2014年2月27日，中央网络安全和信息化领导小组宣告成立，习近平担任组长。这个事件标志安全已经上升到国家战略高度。这也让每一位中国安全行业的从业者，看到安全产业蓬勃发展的美好前景。

从另一个角度上来说，对于安全行业来说，2014年又是不平静的一年。2014年高危漏洞频发。心脏滴血(Heartbleed)漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光，震动了整个互联网，甚至有人称这些漏洞带给互联网的是一场灭顶之灾。然而，互联网安全经过2014年的洗礼，非但没有“灭亡”，反而更加健康。再晴朗的天空也总可能会有那么一丝阴霾，尽管挥之不去，但仍旧无法遮挡灿烂的阳光。

2014年CVE漏洞分布

2014年曝出的安全漏洞中，敏感信息泄露类漏洞数量最多，超过了2000个，这说明黑客对用户信息的关注，侵犯了用户信息的隐私性(建议站点启用SSL 证书来保护用户隐私)。拒绝服务类(DoS)漏洞数量紧跟其后，超过了1500个。通过拒绝服务攻击，可以破坏业务的可用性和稳定性。此外，远程代码执行漏洞数量也非常多。

CVE漏洞总数趋势

2014年曝出的安全漏洞，从数量上创造了一个历史之最。很难说这是一个好或是不好的结果。好的一方面是安全越来越被重视，漏洞不断挖掘和曝光出来，而漏洞的不断修复可以很大程度上提升系统的安全性;不好的一方面是安全威胁的形势越来越严峻，随着漏洞数量的增加，特别对于企业来说，安全维护团队的压力越来越大。一个新漏洞被曝光，如果不能在第一时间尽快修复这个漏洞，很可能就会失去与黑客攻防大战的先机，处于被动的地位。

2014年十大安全漏洞如下，排名不分先后：

1、Heartbleed漏洞

【CVE编号】

CVE-2014-0160

【漏洞发现时间】

2014年4月份

【漏洞描述】

在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS实现中，由于不能正确处理心跳扩展包，导致允许远程攻击者通过触发缓冲区的包获得进程内存的敏感信息。

【漏洞危害】

导致服务器私钥以及泄露会话Session、cookie、账号密码等敏感信息。

2、Shellshock(BASH)漏洞

【CVE编号】

CVE-2014-6271

【漏洞发现时间】

2014年9月

【漏洞描述】

GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞，向环境变量值内的函数定义后添加多余的字符串会触发此漏洞，攻击者可利用此漏洞改变或绕过环境限制，以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用Bash shell之前可以用构造的值创建环境变量。这些变量可以包含代码，在shell被调用后会被立即执行。

【漏洞危害】

可以直接在Bash支持的Web CGI环境下远程执行任何命令，另外此漏洞可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用Bash作为解释器的应用等。

3、SSL 3.0 POODLE漏洞:

【CVE编号】

CVE-2014-3566

【漏洞发现时间】

2014年10月

【漏洞描述】

Poodle攻击的原理，就是黑客故意制造安全协议连接失败的情况，触发浏览器的降级使用 SSL 3.0，然后使用特殊的手段，从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。

【漏洞危害】

攻击者可以利用此漏洞获取受害者的https请求中的敏感信息，如cookies等信息。

4、Microsoft KerberOS权限提升漏洞:

【CVE编号】

CVE-2014-6324

【漏洞发现时间】

2014年12月

【漏洞描述】

Windows Kerberos对kerberos tickets中的PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞，低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过Kerberos KDC(Key Distribution Center)的验证，攻击成功使得攻击者可以提升权限，获取域管理权限。

【漏洞危害】

利用一个普通的域账号，提升自己的权限到域控管理员。

5、BadUSB

【CVE编号】

无

【漏洞发现时间】

2014年7月

【漏洞描述】

一个BADUSB设备可以模仿登录用户的键盘或发出命令，例如exfiltrate文件或安装恶意软件。这样的恶意软件，反过来，可以感染的计算机连接的其他USB设备控制器芯片。该设备还可以欺骗网卡和更改计算机的DNS设置将流量重定向。

【漏洞危害】

BadUSB最大危险之处在于很难被查觉，哪怕是防病毒软件也不能发现它。

6、IE通杀代码执行漏洞

【CVE编号】

CVE-2014-6332

【漏洞发现时间】

2014年11月

【漏洞描述】

Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本在实现上存在Windows OLE自动化数组远程代码执行漏洞，远程攻击者利用此漏洞通过构造的网站执行任意代码。

【漏洞危害】

对于黑客，他们通过网站挂马，可以直接批量控制中马用户的计算机，不仅可以盗取各类账号(邮箱、游戏、网络支付)，还可以进行交易劫持等其他利益用途。

7、Microsoft Windows全版本提权漏洞

【CVE编号】

CVE-2014-4113

【漏洞发现时间】

2014年10月

【漏洞描述】

如果攻击者诱使用户打开特制文档或访问包含嵌入 TrueType 字体的不受信任的网站，则其中较为严重的漏洞可能允许远程执行代码。但是在所有情况下，攻击者无法强制用户执行这些操作。相反，攻击者必须说服用户这样做，方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接。

【漏洞危害】

以普通用户权限运行漏洞利用程序成功后，从普通用户权限提升到了系统system最高权限。

8、NTP远程代码执行以及拒绝服务攻击漏洞

【CVE编号】

CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296

【漏洞发现时间】

2014年12月

【漏洞描述】

网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。

(1) 其中CVE-2014-9293漏洞详情为：如果在配置文件ntp.conf中ntpdc没有指定申请认证密钥，NTPD会自动生成弱密钥。远程攻击者能够通过匹配这些限制的IP地址来猜解出生成的密钥，并有可能用它来发送ntpdc查询或配置请求。

(2) 其中CVE-2014-9294漏洞详情为： NTP密钥生成器，使用一种不安全的算法来生成md5值。这可能允许攻击者猜到生成的MD5密钥，然后用于欺骗NTP客户端或服务器。注：对于使用NTP-注册机生成的密钥，建议重新生成MD5密钥。默认安装不包含这些键值。

(3)其中CVE-2014-9295漏洞详情为：在NTPD的函数crypto_recv()、ctl_putdata()和configure()中存在多个缓冲区溢出漏洞。远程攻击者可以利用这些漏洞发送精心构造的数据包，导致NTPD崩溃，甚至使用NTP用户权限执行任意代码。注：crypto_recv()函数的漏洞利用，需要是在用的非默认配置，而ctl_putdata函数()的漏洞利用，在默认情况下，只能通过本地攻击者被利用。并且configure()函数的漏洞利用需要其他身份验证利用。

(4)其中CVE-2014-9296漏洞详情为：在receive()函数中缺少具体返回状态，从而使远程攻击者有绕过NTP认证机制的可能。

【漏洞危害】

造成NTPD拒绝服务攻击以及造成缓冲区溢出漏洞导致的代码执行漏洞。

9、Adobe堆缓冲区溢出漏洞

【CVE编号】

CVE-2014-0561

【漏洞发现时间】

2014年9月

【漏洞描述】

Adobe Reader以及Adobe Acrobat存在堆溢出漏洞，成功利用后可导致代码执行。

【漏洞危害】

利用有漏洞的Adobe Reader和Adobe Acrobat攻击操作系统，获取相应的权限。

10、Microsoft .NET Framework远程权限提升漏洞

【CVE编号】

CVE-2014-4149

【漏洞发现时间】

2014年11月

【漏洞描述】

Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2版本没有正确执行TypeFilterLevel检查，远程攻击者通过向.NET Remoting端点发送构造的数据，利用此漏洞可执行任意代码。

【漏洞危害】

利用有漏洞的.NET Framework获取服务器权限。