在Linux系統(tǒng)中廣泛使用的Bash軟件中發(fā)現(xiàn)的一項安全漏洞,對電腦用戶造成的威脅,可能比今年4月發(fā)現(xiàn)的“心臟流血”漏洞更為嚴重。
網(wǎng)絡(luò)安全專家周三警告稱,在Linux系統(tǒng)中廣泛使用的Bash軟件中發(fā)現(xiàn)的一項安全漏洞,對電腦用戶造成的威脅,可能比今年4月發(fā)現(xiàn)的“心臟流血”漏洞更為嚴重。
安全專家表示,Bash是一款在很多Unix電腦中用于控制命令提示符的軟件,黑客可以借助Bash中的漏洞完全控制目標(biāo)系統(tǒng)。
美國國土安全部下屬的美國電腦緊急響應(yīng)團隊(以下簡稱“US-CERT”)發(fā)出警告稱,這一漏洞可能影響基于Unix的操作系統(tǒng),包括Linux和蘋果Mac OS X。
網(wǎng)絡(luò)安全公司Trail of Bits CEO丹·奇諾(Dan Guido)表示,黑客可以借助“心臟流血”漏洞竊取電腦信息,但卻無法完全控制電腦。“這項新漏洞的破解方法也更容易,你只需要復(fù)制/粘貼一行代碼即可。”
供職于網(wǎng)絡(luò)安全公司Rapid7的工程師托德·貝爾德斯利(Tod Beardsley)警告稱,該漏洞的嚴重性達到了“10級”,意味著它的影響在各類漏洞中處于最高級別,而它的破解難度卻“很低”,因此只需要借助相對簡單的方式即可發(fā)起攻擊。
“攻擊者有可能借助這一漏洞控制系統(tǒng),獲取機密信息,甚至修改設(shè)置。”貝爾德斯利說,“任何使用Bash的系統(tǒng)都應(yīng)該立刻打補丁。”
US-CERT建議電腦用戶通過軟件廠商獲取系統(tǒng)升級。該機構(gòu)還表示,紅帽等Linux系統(tǒng)開發(fā)商已經(jīng)準(zhǔn)備好了這樣的更新,但并未提及OS X的升級問題。蘋果發(fā)言人尚未對此置評。
谷歌安全研究員塔維斯·奧曼迪(Tavis Ormandy)在Twitter上表示,這些補丁似乎“不完善”。但他并未給出詳細評論,但一些安全專家稱,在Twitter上發(fā)表過于簡單的技術(shù)評論會引發(fā)擔(dān)憂。
“這意味著即使打了補丁,有些系統(tǒng)依然會被攻破。”安全軟件開發(fā)商Veracode CTO克里斯·韋索帕爾(Chris Wysopal)說。
他表示,各大企業(yè)的安全團隊已經(jīng)花了一整天來檢查網(wǎng)絡(luò),尋找存在漏洞的設(shè)備,并給其打上補丁。如果補丁被證明無效,他們可能采取其他方法措施減少潛在攻擊。
“所有人都在努力給所有接入互聯(lián)網(wǎng)的Linux設(shè)備打補丁,Veracode今天同樣在從事這一工作。”他說,“對于規(guī)模龐大、網(wǎng)絡(luò)復(fù)雜的組織而言,可能需要很長時間才能完成這項工作。”
今年4月發(fā)現(xiàn)的“心臟流血”漏洞存在于OpenSSL開源加密軟件中。由于全球約有三分之二的網(wǎng)站使用OpenSSL,導(dǎo)致數(shù)百萬網(wǎng)民的用戶數(shù)據(jù)面臨威脅。因為影響范圍巨大,還迫使數(shù)十家科技公司針對數(shù)百款使用OpenSSL的產(chǎn)品開發(fā)了安全補丁。
Bash是一個殼,或稱命令提示符軟件,由非營利組織“自由軟件基金會”開發(fā)。該組織尚未對此發(fā)表評論。
河南億恩科技股份有限公司(www.vbseamall.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:
0371-60135995
服務(wù)熱線:
0371-60135900
