当前位置: 首页 » 资讯 » 科技资讯 » 正文

最新Unix漏洞 比“心脏流血”更流血 影响苹果 Mac OS X

2014-09-25   来源:新浪科技   作者:CNAIDC.COM编录   点击:81
摘要:在Linux系统中广泛使用的Bash软件中发现的一项安全漏洞,对电脑用户造成的威胁,可能比今年4月发现的“心脏流血”漏洞更为严重。
关键词: 漏洞 Linux
       北京时间9月25日早间消息,网络安全专家周三警告称,在Linux系统中广泛使用的Bash软件中发现的一项安全漏洞,对电脑用户造成的威胁,可能比今年4月发现的“心脏流血”漏洞更为严重。

安全专家表示,Bash是一款在很多Unix电脑中用于控制命令提示符的软件,黑客可以借助Bash中的漏洞完全控制目标系统。

美国国土安全部下属的美国电脑紧急响应团队(以下简称“US-CERT”)发出警告称,这一漏洞可能影响基于Unix的操作系统,包括Linux和苹果(101.73, -0.91, -0.89%)Mac OS X。

网络安全公司Trail of Bits CEO丹·奇诺(Dan Guido)表示,黑客可以借助“心脏流血”漏洞窃取电脑信息,但却无法完全控制电脑。“这项新漏洞的破解方法也更容易,你只需要复制/粘贴一行代码即可。”

供职于网络安全公司Rapid7的工程师托德·贝尔德斯利(Tod Beardsley)警告称,该漏洞的严重性达到了“10级”,意味着它的影响在各类漏洞中处于最高级别,而它的破解难度却“很低”,因此只需要借助相对简单的方式即可发起攻击。

“攻击者有可能借助这一漏洞控制系统,获取机密信息,甚至修改设置。”贝尔德斯利说,“任何使用Bash的系统都应该立刻打补丁。”

US-CERT建议电脑用户通过软件厂商获取系统升级。该机构还表示,红帽(56.9, 0.57, 1.01%)等Linux系统开发商已经准备好了这样的更新,但并未提及OS X的升级问题。苹果发言人尚未对此置评。

谷歌(587.99, 6.86, 1.18%)安全研究员塔维斯·奥曼迪(Tavis Ormandy)在Twitter(52.96, 0.79, 1.51%)上表示,这些补丁似乎“不完善”。但他并未给出详细评论,但一些安全专家称,在Twitter上发表过于简单的技术评论会引发担忧。


“这意味着即使打了补丁,有些系统依然会被攻破。”安全软件开发商Veracode CTO克里斯·韦索帕尔(Chris Wysopal)说。

他表示,各大企业的安全团队已经花了一整天来检查网络,寻找存在漏洞的设备,并给其打上补丁。如果补丁被证明无效,他们可能采取其他方法措施减少潜在攻击。

“所有人都在努力给所有接入互联网的Linux设备打补丁,Veracode今天同样在从事这一工作。”他说,“对于规模庞大、网络复杂的组织而言,可能需要很长时间才能完成这项工作。”

今年4月发现的“心脏流血”漏洞存在于OpenSSL开源加密软件中。由于全球约有三分之二的网站使用OpenSSL,导致数百万网民的用户数据面临威胁。因为影响范围巨大,还迫使数十家科技公司针对数百款使用OpenSSL的产品开发了安全补丁。

Bash是一个壳,或称命令提示符软件,由非营利组织“自由软件基金会”开发。该组织尚未对此发表评论。
编辑  来源:新浪科技  责任编辑:www.cnaidc.com
 
 
[ 投稿邮箱:26454645@qq.com]  [ 资讯搜索 ]  [ 加入收藏 ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]
声明:中国自动识别网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。其原创性以及文中陈述文字和内容未经本站证实,对本文内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请网友及读者仅作参考,并请自行核实。凡本网注明"来源:中国自动识别网"的作品,版权均属于中国自动识别网网站,转载请必须注明中国自动识别网,并附上网址 http://www.cnaidc.com。违反者本网将追究相关法律责任。如涉及作品内容、版权等问题,请在作品发表之日起两周内与本网联系,否则视为放弃相关权利。
 

 
 
  文明转播  行业协会  备案信息  安全网站