北京時間9月26日上午消息,在研究人員發(fā)現(xiàn),最新的Shellshock漏洞可能影響到全球約50%的網(wǎng)絡(luò)服務(wù)器,以及很多蘋果設(shè)備后,谷歌和亞馬遜周四競相修補這一漏洞。
借助這個名為Shellshock的漏洞,黑客便可控制網(wǎng)站服務(wù)器和聯(lián)網(wǎng)電腦。但與今年春天的“心臟流血”漏洞不同,當(dāng)時的漏洞迫使40%的美國人修改了密碼,而面對最新漏洞,普通用戶幾乎束手無策。
黑客可以借助這項軟件漏洞控制遠(yuǎn)程系統(tǒng),并執(zhí)行命令?;赨nix的操作系統(tǒng)都會存在這一漏洞,包括蘋果的Mac OS X。例如,網(wǎng)站服務(wù)器可能被黑客劫持,從而向訪客的設(shè)備中植入病毒。無線上網(wǎng)連接也可能被用于控制MacBook Air。
知情人士表示,谷歌已經(jīng)采取了一些措施,在該公司的內(nèi)部服務(wù)器和商業(yè)云計算服務(wù)中修復(fù)該漏洞。亞馬遜也在周四發(fā)布公告,指導(dǎo)亞馬遜網(wǎng)絡(luò)服務(wù)的客戶如何緩解這一問題造成的影響。
“這個漏洞很可怕。”網(wǎng)絡(luò)安全公司FireEye研究總監(jiān)達(dá)里恩·欣德隆德(Darien Kindlund)說,“保守來看,全球的網(wǎng)頁服務(wù)器中,約有20%至50%可能受此影響。”
這項漏洞似乎已經(jīng)存在多年。Linux系統(tǒng)開發(fā)商紅帽表示,Bash模塊的相關(guān)代碼早在1980年就已經(jīng)創(chuàng)建。這意味著之前可能已經(jīng)有過針對Bash的攻擊——但目前還沒有證據(jù)證明此事。
“真正的專業(yè)組織可能已經(jīng)知道此事。”網(wǎng)絡(luò)安全公司W(wǎng)ebsense CEO約翰·邁高麥克(John McCormack)說。
專家建議用戶關(guān)注廠商提供的安全更新,并格外留心身份不明的無線網(wǎng)絡(luò)。技術(shù)水平較高的用戶,可以按照安全專家特洛伊·亨特(Troy Hunt)提供的方法,對系統(tǒng)進行重新配置。
目前還沒有證據(jù)顯示,已經(jīng)有人針對Shellshock漏洞發(fā)起了攻擊。然而,在美國國土安全部的漏洞數(shù)據(jù)庫中,該漏洞的潛在破壞性和易被利用的程度均獲得了10分的評分(最高分為10分)。