一个新的漏洞在昨天被发现,它代号“ Shellshock”(安全实验室翻译其中文名为“破壳”),属高危漏洞,被安全人士一致认为影响范围可以与今年4月份出现的“心脏出血/Heartbleed ”漏洞相比。产生“ Shellshock”漏洞的程序叫做bash。这是一个比OpenSSL还要古老的开源程序,它正式诞生至今已有25年。bash属于命令行程序,你可以类比于Windows下的“cmd”,但它的功能还要强大。简单的说,bash是Linux系统的“命令行”桌面之一,通过向它输入指令,你才能操作电脑。bash的市场占有率极高。它内置界上绝大多数Linux及UNIX系统内,并是大多数Linux、v10.4以上的OS X、移植到Windows平台的Cygwin等系统的默认Shell,也就是前边所说的“命令行”桌面。看这介绍,就已经能想象出将有庞大的机器数量面临被的隐患。时间9月26日上午消息,在研究人员发现,最新的Shellshock漏洞可能影响到全球约50%的网络服务器,以及很多苹果设备后,谷歌和亚马逊周四竞相修补这一漏洞。借助这个名为Shellshock的漏洞,黑客便可控制网站服务器和联网电脑。但与今年春天的“心脏流血”漏洞不同,当时的漏洞40%的美国人修改了密码,而面对最新漏洞,普通用户几乎束手无策。黑客可以借助这项软件漏洞控制远程系统,并执行命令。基于Unix的操作系统都会存在这一漏洞,包括苹果的Mac OS X。例如,网站服务器可能被黑客劫持,从而向访客的设备中植入病毒。无线上网连接也可能被用于控制MacBook Air。知情人士表示,谷歌已经采取了一些措施,在该公司的内部服务器和商业云计算服务中修复该漏洞。亚马逊也在周四发布公告,指导亚马逊网络服务的客户如何缓解这一问题造成的影响。“这个漏洞很。”网络安全公司FireEye研究总监达里恩欣德隆德(Darien Kindlund)说,“保守来看,全球的网页服务器中,约有20%至50%可能受此影响。”这项漏洞似乎已经存在多年。Linux系统开发商红帽表示,Bash模块的相关代码早在1980年就已经创建。这意味着之前可能已经有过针对Bash的但目前还没有证明此事。“真正的专业组织可能已经知道此事。”网络安全公司Websense CEO约翰迈高麦克(John McCormack)说。专家用户关注厂商提供的安全更新,并格外留心身份不明的无线网络。技术水平较高的用户,可以按照安全专家特洛伊亨特(Troy Hunt)提供的方法,对系统进行重新配置。目前还没有显示,已经有人针对Shellshock漏洞发起了。然而,在美国国土的漏洞数据库中,该漏洞的潜在性和易被利用的程度均获得了10分的评分(最高分为10分)。
延伸内容: