分类: 漏洞事件

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。 恶意 Shockwave Flash ActiveX 对象属性 研究人员发现,该 Flash 应用程序其实是一个混淆的下载器: 进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。 之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。 尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。 揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制) 一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。 获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。 最后,研究人员分享了感染指征(Indicators of Compromise): Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497     稿源:cnBeta,封面源自网络;  

Chrome 中存在 Wi-Fi 漏洞,谷歌原本并不打算修复

网络安全和渗透测试咨询公司 SureCloud 的研究人员发现谷歌 Chrome 和 Opera 浏览器存在漏洞,可使 Wi-Fi 受到攻击。 研究人员表示,基于 Chrome 内核的浏览器可以保存 Wi-Fi 中路由器管理页面凭据并自动重新输入,以方便用户使用,而由于大多数家用路由器不使用加密通信进行后台管理,这使得研究人员能够利用这种自动凭证重新登录,达到窃取路由器登录凭据并使用它们捕获 Wi-Fi 密码(PSK)的目的。研究人员还提供了一段漏洞利用的演示视频:https://youtu.be/YW0drHztgJY 这个漏洞适用于任何基于 Chrome 内核 Chromium 的浏览器,例如 Chrome、Opera、Slimjet 与 Torch 等,通过明文 HTTP 提供管理页面的任何路由器都会受到此问题的影响。 研究人员早在 3 月 2 日就向 Google 的 Chromium 项目披露了该漏洞,但 Chromium 回复称浏览器功能按设计工作,并且不打算修复。 “安全性和便利性之间始终存在权衡,但我们的研究清楚地表明,存储登录凭据的 Web 浏览器中的功能正在使数以百万计的家庭和企业网络受到攻击“,SureCloud 的网络安全实践总监 Luke Potter 说:“我们认为这个设计问题需要在受影响的 Web 浏览器中修复,以防止漏洞被利用,造成用户损失。”对于谷歌不修复该漏洞的回复,他们也没办法。 而最新消息是,在前两天推出的 Chrome 69 中,谷歌已经修复了该漏洞。   稿源:开源中国,封面源自网络;

网络协议分析神器 Wireshark 曝严重漏洞,可崩溃系统

据报道,Wireshark 团队修补了许多可能被利用来强制系统崩溃和 DoS 的严重漏洞。 在思科提供的分析报告中,其表示,CVE-2018-16056、CVE-2018-16057 和 CVE-2018-16058 这三个漏洞有可能对运行版本 2.6.0 到 2.6.2、2.4.0 到 2.4.8 和 2.2.0 到 2.2.16 Wireshark 的用户造成严重干扰。第一个漏洞 CVE-2018-16056 是 Wireshark 的蓝牙属性协议(ATT)解析器组件中存在的漏洞。Wireshark 的 epan/dissectors/packet-btatt.c 源代码文件不验证是否存在特定通用唯一标识符(UUID)的解析器,允许未经身份验证的远程攻击者将精心制作的数据包发送到网络中,从而导致组件崩溃。此外,攻击者可以欺骗用户打开格式错误的数据包,从而导致同样的后果。 第二个漏洞 CVE-2018-16057 是 Wireshark 的 Radiotap 解析器组件中的安全漏洞。组件的源文件中没有足够的绑定检查,可以通过使用格式错误的数据包来利用它,未经身份验证的远程攻击者可以利用此安全漏洞在目标系统上导致 DoS。 另一个漏洞 CVE-2018-16058 是在 Wireshark 音频/视频分发传输协议(AVDTP)解析器中找到的。epan/dissectors/packet-btavdtp.c 源代码文件不正确地初始化数据结构,导致恶意数据包利用系统并造成系统崩溃。 目前已经向公众发布了概念验证(PoC)代码,演示了如何利用这些安全漏洞。 Wireshark 团队承认存在这些安全漏洞,并已发布软件更新解决了问题。Wireshark 的用户应将其软件版本更新到版本 2.6.3、2.4.9、2.2.17 或更高版本,以保护自己免受漏洞利用的风险。   稿源:开源中国,封面源自网络;

PHP 现反序列化漏洞,或使 WordPress 遭远程攻击

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。 序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。 安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP 中,还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术,可用于各种场景,例如 XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。 Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。 Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台,以及 Contao 所采用的 TCPDF 库。   稿源:开源中国社区,封面源自网络;

英特尔 Foreshadow 芯片漏洞曝光 或被窃取安全锁定区的敏感数据

近日,安全研究人员发现了影响英特尔处理器的 “Foreshadow” (预兆)新漏洞,其能够绕过该公司内置的芯片安全特性,使得攻击者可能获得存储在处理器“安全封锁区域”的敏感数据。外媒 Wired 指出,Foreshadow 会攻击英特尔处理器上一项名叫“安全警卫扩展”(Secure Guard Extensions)的功能,后者亦被简称为 SGX 。 SGX 旨在帮助保护处理器中保存的用户数据,即便整个计算机都已被攻击者所控制。但实际上,SGX 是在芯片上创建了一个用于保存敏感的数据的安全内存区域,这部分内容无法被恶意代码直接读取。 虽然 SFX 之前被认为能够抵御投机性执行攻击,例如今年早些时候曝光的‘熔毁’(Meltdown)和‘幽灵’(Spectre)漏洞。 但 Foreshadow 漏洞不仅利用了类似的技术,还可以访问受 SGX 保护的 L1 缓存、甚至提取目标的私有证明密钥 —— 这也是用于 SGX 完整性检查的加密密钥。 鉴于 SGX 内置隐私保护,外界很难知晓由谁签署了“飞地”。而知晓了“证明密钥”,就可以允许创建“看似真实”的 SGX 签名 —— 但事实并非如此。 由于证明密钥被泄露,意味着同一生态系统中的多台计算机‘可能同时受到攻击’,而不仅限于一台。 推测性执行攻击,依赖于处理器猜测将要执行的操作,并为之做好准备。 这么做的原意是为了节省资源,但同时,其产生的信息可能对攻击者插入自有指令起到了实质性作用,从而获得对系统的控制。 此外,研究人员发现了两个被叫做“Foreshadow-NG”的类似变体。它们也会攻击 SMM 代码、操作系统、管理程序软件、以及其它微处理器。 研究人员称,这可能会影响云服务上的虚拟机,包括使用恶意访客 VM 读取虚拟机管理程序的内存、甚至是属于另一台虚拟机的内存。 最早发现这一漏洞的,是来自 KU Leuven 的研究人员。其对 Meltdown 和 Spectre 展开了独立研究,并于 2018 年 1 月 3 日向英特尔通报。 来自 Technion、密歇根大学、阿德莱德大学、思科旗下 Data61 等机构的其他研究人员,也分别发现了这些问题,并于 1 月 23 号向英特尔警示了此事。 研究人员建议,所有 Skylake 和 Kaby Lake 处理器都会受到 Foreshadow 攻击的影响,因为它们都是用了 SGX 。 攻击发生后,只会在日志中留下些微的痕迹,而且它也可以在‘用户空间’中启动。换言之,攻击者无需深层系统访问,即可执行攻击。 好消息是,由于执行攻击的前提是针对支持 SGX 的处理器,大多数桌面用户不大可能受到 Foreshadow 的影响。 与新发现相比,其它攻击途径(包括分发恶意软件和网络钓鱼企图)反而更有可能受到攻击者的青睐。 英特尔已经通过软件修复和微码更新,提供了缓解 Foreshadow 攻击的措施。 该公司称之为‘L1 终端缺陷’(L1 Terminal Fault),并且从 5 月份开始,就已经携手各大科技企业来发布相关补丁了。   稿源:cnBeta.COM,编译自:Apple Insider,封面源自网络;

研究人员展示了传真机如何被轻易入侵

以色列网络安全公司 Check Point 昨天在拉斯维加斯举行的年度 Defcon 黑客活动上发表了一篇关于传真机漏洞的文章,称为 Faxploit。它发现攻击者需要的是一个传真号码,用于传输图像或文件,机器认为该图像,但实际上是嵌入恶意代码的图像。 Check Point 使用 HP Officejet Pro 一体式打印机/传真机来演示此漏洞,但惠普在调查结果公布之前发布了补丁。但问题在于传真协议,其他公司的设备也可能面临风险。由于大多数现代传真机是连接到家庭或办公室网络的一体化设备,因此传真发送的恶意软件有效负载可能会分布在整个连接的网络中。 Check Point 建议公司定期检查其一体化传真机是否有可用的固件更新,并尽快应用。它还建议将传真设备放在单独的安全网络上,但这可能会带来不便并限制其功能。但是,一旦获得未经授权的访问,网络分段可以提供有效的措施,以缓解下一阶段的网络入侵,并通过横向移动限制攻击的蔓延。 美国和英国的医疗行业都严重依赖通过传真进行的通信,据说美国仍在运营着 1700 万台传真机。     稿源:cnBeta.COM,封面源自网络;

FBI 向银行业发警告:有黑客计划利用漏洞在 ATM 大量取钞

美国联邦调查局(FBI)近期向银行业发布警告,称网络犯罪分子可以绕过 ATM 取款机上的各种安全措施,从而让 ATM 非法吐钞。FBI 表示获得尚未证实的匿名线报,称网络犯罪份子计划在未来几天内对全球 ATM 取款机发起这种攻击,目前仍不确定漏洞所在,可能和一些发卡机构违规操作有关。 图片来自于 U.S. Air Force photo by Tech. Sgt. Josef Cole 这通常称之为“unlimited operation”,通过安装恶意软件来破坏金融机构或者而支付终端,允许黑客进行网络访问获得管理员级别的访问权限。一旦黑客攻入该系统,那么就能关闭 ATM 提款金额(和交易限额)上的限制,甚至能够提取数百万的大额资金。   稿源:cnBeta.COM,封面源自网络;

外媒:移动 POS 存在漏洞 个人信息有暴露风险

【环球网科技 记者 樊俊卿】近日,有驻华外媒发表文章称,近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动 POS 机)存在着极大的安全隐患。 有消息显示,目前,该领域的设备主要由四家公司所提供—— Suqare、SumUp、iZettle 和 PayPal 。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。 来自安全公司 Positive Technologies 的 Leigh-Anne Galloway 和 Tim Yunusov 总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美:其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。 我们面临的一个非常简单的问题是,一个成本不到 50 美元的设备到底拥有多少安全性?” Galloway 说。“考虑到这一点,我们从两个供应商和两款读卡器开始研究,但是它很快发展成为一个更大的项目。” 所有四家制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以 Square 和 PayPal 为例,漏洞是在一家名为 Miura 的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。 研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。 此外,流氓商家可以让 mPOS 设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为 5 万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。 研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。 研究人员发现,在 Miura M010 读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。 Galloway 指出,第三方攻击者可能特别希望使用此控件将 PIN 码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户 PIN 码。 研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。 “Miura M010 读卡器是第三方信用卡芯片读卡器,我们最初提供它作为权宜之计,现在只有几百个 Square 卖家使用。当我们察觉到存在一个影响 Miura 读卡器的漏洞时,我们加快了现有计划,放弃了对 M010 读卡器的支持,”一位 Square 发言人表示。“今天,在 Square 生态系统中不再可能使用 Miura 读卡器了。” “SumUp 可以证实,从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈,”一位 SumUp 发言人表示。“尽管如此,研究人员一联系我们,我们的团队就成功地排除了将来出现这种欺诈企图的可能性。” “我们认识到研究人员和我们的用户社区在帮助保持 PayPal 安全方面发挥的重要作用,”一位发言人在一份声明中表示。“ PayPal的系统没有受到影响,我们的团队已经解决了这些问题。” iZettle 没有回复评论请求,但是研究人员表示,该公司也在修复这些漏洞。 Galloway 和 Yunusov 对供应商的积极回应感到满意。然而,他们希望,他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。 “我们在这个市场基础上看到的问题可以更广泛地应用于物联网,” Galloway 说。“像读卡器这样的东西,作为消费者或企业所有者,你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长,产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”   稿源:环球网,封面源自网络;

黑客称可通过“合成点击”绕开 macOS 安全警报

8 月 13 日消息,据国外媒体报道,在拉斯维加斯周日举行的防御黑客大会(DefCon hacker conference)上,美国国家安全局前雇员、知名 Mac 电脑黑客帕特里克·沃德尔(Patrick Wardle)对苹果 macOS 操作系统进行安全攻击,其通过所谓的“合成点击”(synthetic click)让恶意软件轻而易举地通过了系统安全警报。 沃德尔认为,这种绕过 macOS 操作系统安全机制的方法或许能够窃取用户电脑中存在的联系人,甚至于进入操作系统内核,完全控制电脑。 据悉,操作系统常常通过让用户选择“允许”或“拒绝”程序访问敏感数据或功能,从而创建一个检查点,阻止恶意软件,同时让正常的应用程序通过。但沃德尔的方法能够帮助恶意软件渗透到计算机的安全层内。 作为 Digita 安全公司的一名安全研究员,沃德尔表示,“如果你有一种方法与系统发出的警报进行综合交互,你就拥有了一种可以绕开安全机制的强大方法。” 但是,沃德尔的合成点击方法绕过的弹窗提示对用户来说仍然可见,苹果 macOS 操作系统依旧会提示用户电脑上存在恶意软件。但沃德尔表示,恶意软件可以等待用户离开机器的时候再去触发并绕过弹窗提示。 沃德尔承认,他的“合成点击”攻击并不能直接侵入Mac操作系统内部或控制电脑。但在某些黑客手中,它们可能是一个危险的工具,让老练的攻击者从计算机中窃取更多数据或获得更深层控制。     稿源:网易科技,封面源自网络;

研究称数百万 Android 设备出货时便存在固件漏洞

据《连线》网站报道,研究人员发现,数以百万计的 Android 设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。智能手机因安全问题而崩溃往往是自己造成的:你点击了错误的链接,或者安装了有问题的应用。但对于数以百万计的 Android 设备来说,这些漏洞早就潜藏于固件当中,被利用只是迟早的问题。这是谁造成的呢?在某种程度上,制造设备的制造商和销售设备的运营商都有责任。 这是移动安全公司 Kryptowire 的最新研究分析得出的主要结论。Kryptowire 详细列出了在美国主流运营商销售的 10 款设备中预装的漏洞。Kryptowire 首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的 Black Hat 安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。 这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。       “这个问题不会消失。”—— Kryptowire首席执行官安杰罗斯·斯塔夫鲁 Android 操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出 Android 9 Pie ,但最终该新系统将会有各种各样的版本。 不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。 “这个问题不会消失,因为供应链中的许多人都希望能够添加自己的应用程序,自定义定制,以及添加自己的代码。这增加了可被攻击的范围,增加了软件出错的可能性。”斯塔夫鲁指出,“他们让终端用户暴露于终端用户无法应对的漏洞当中。” Kryptowire 在 Black Hat 上的讲话聚焦于来自华硕、LG、Essential 和中兴通讯的设备。 Kryptowire 的研究关注的并不是制造商的意图,而是整个 Android 生态系统的参与者共同造成的广泛存在的代码低劣问题。 以华硕 ZenFone V Live 为例,Kryptowire 发现,该款手机的整个系统都被接管控制,包括对用户屏幕的截图和视频录像、打电话、浏览和修改短信等等。 “华硕意识到最近 ZenFone 的安全问题,正努力通过软件更新来加快解决问题,软件更新将无线推送给 ZenFone 用户。”华硕在一份声明中表示,“华硕致力于保障用户的安全和隐私,我们强烈建议所有的用户更新到最新的 ZenFone 软件,以确保获得安全的用户体验。” 现阶段,要解决自己造成的烂摊子,推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上,用户可能也不会去安装更新。”他说道。他还指出,在 Kryptowire 测试的一些机型上,更新过程本身就被中断了。这一发现也得到了德国安全公司 Security Research Labs 最近的一项研究的支持。 Kryptowire 所详述的攻击基本上都需要用户去安装应用。然而,虽然正常来说可以通过一个不错的方法来规避潜在的攻击,即坚持使用谷歌官方应用商店 Google Play 来下载应用,但斯塔夫鲁指出,让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说,应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件,它可以轻而易举地、悄无声息地获取你的短信和通话记录。 攻击最终可能会导致各种各样的后果,具体要看你使用的是什么设备。就中兴 Blade Spark 和 Blade Vantage 而言,固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录(收集各种系统消息,可能包括电子邮件地址、GPS 坐标等敏感信息)。在 LG G6(Kryptowire的研究报告中最流行的一款机型)上,漏洞可能会暴露日志记录,或者被用来锁定设备让机主无法访问。攻击者还可能会重置 Essential Phone 手机,清除它的数据和缓存。 “在我们意识到这个漏洞以后,我们的团队立即进行了修复。” Essential 公关主管莎丽·多尔蒂(Shari Doherty)说道。          你完全无法自己去解决问题,也无法早早发现问题的存在。 LG 似乎已经解决了一些潜在的问题,但还没有完全解决。“ LG 此前了解到了这些漏洞,并已经发布了安全更新来解决这些问题。事实上,报告提到的漏洞大多数都已经被修补,或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。 至于中兴通讯,该公司在一份声明中表示,它“已经推送安全更新,今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作,未来持续提供维护更新,继续保护消费者的设备。” AT&T 的一位发言人证实,该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon 和 Sprint 没有回复记者的置评请求。 这一连串的声明显示出了进展,但也凸显了一个关键的问题。斯塔夫鲁说,这些更新可能需要几个月的时间来创建和测试,需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中,你完全无法自己去解决问题,也无法早早发现问题的存在。 “有一点是可以确定的,那就是没有人保障消费者的安全。”斯塔夫鲁指出,“该漏洞问题在系统中根深蒂固,消费者可能无法判断它是否存在。即使他们意识到它的存在,他们也毫无办法,只能等待制造商、运营商或任何更新固件的人来提供帮助。” 与此同时,这一发现只是 Kryptowire 最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应,它还没有公开全部的发现。) “我们要感谢 Kryptowire 的安全研究人员为加强 Android 生态系统的安全性所做的努力。他们所概述的问题并不影响 Android 操作系统本身,但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。 第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里,那些令人头痛的潜藏隐患就还会存在。     稿源:网易科技,封面源自网络;