前言:本文说的漏洞,特指跟操作系统、软件有关的漏洞,不是WEB方面的漏洞。
最近看到一些新闻,说各种漏洞如何牛逼,仿佛目前的安全体系不堪一击等。其实吧,这种忽悠一些老百姓还行,
忽悠真正“注意安全”的人就没啥用了。
很多漏洞发现者的思路大概是这样子:通过漏洞,从低权限获得高权限,甚至是系统的最高权限,然后就可以为所欲为了(比如盗窃信息等)。然而这些漏洞发现者在思维上却也有一个巨大的漏洞:我的东西是跑在别人的HOST系统上的。然而如果HOST系统只是一个安装虚拟机的平台,任何操作都在虚拟机里执行呢(包括上网、看视频、看PDF等)?那就做不到最后一步“为所欲为”了。也就是说,利用漏洞的最终目的没有达到。 目前漏洞频发的的组件,个人认为,一个IE(或者说是所有的浏览器),一个是FLASH(或者是PDF组件之类的第三方插件)。这俩东西我是绝对不会安装到HOST系统的,只会在低安全等级的GUEST系统(虚拟机)里安装,而“低安全等级的GUEST系统”是没有任何敏感信息的,随便获得任何权限。而且就算被感染上了,只要恢复一下快照,各种辛辛苦苦进来的“牛鬼蛇神”会立马消失。
所以说,要想影响到真正“注意安全”的人,必须先找到一个能穿透VMWARE的漏洞。然而这种漏洞似乎不存在——只能找找寥寥几篇报道,而且语焉不详。