安全專家發現新漏洞：影響或超“心臟流血”

新浪科技訊 北京時間9月25日早間消息，網絡安全專家周三警告稱，在Linux系統中廣泛使用的Bash軟件中發現的一項安全漏洞，對電腦用戶造成的威脅，可能比今年4月發現的“心臟流血”漏洞更為嚴重。

安全專家表示，Bash是一款在很多Unix電腦中用於控制命令提示符的軟件，黑客可以借助Bash中的漏洞完全控制目標系統。

美國國土安全部下屬的美國電腦緊急響應團隊(以下簡稱“US-CERT”)發出警告稱，這一漏洞可能影響基於Unix的作業系統，包括Linux和蘋果Mac OS X。

網絡安全公司Trail of Bits CEO丹·奇諾(Dan Guido)表示，黑客可以借助“心臟流血”漏洞竊取電腦信息，但卻無法完全控制電腦。“這項新漏洞的破解方法也更容易，你只需要複製/粘貼一行代碼即可。”

供職於網絡安全公司Rapid7的工程師托德·貝爾德斯利(Tod Beardsley)警告稱，該漏洞的嚴重性達到了“10級”，意味它的影響在各類漏洞中處於最高級別，而它的破解難度卻“很低”，因此只需要借助相對簡單的方式即可發起攻擊。

“攻擊者有可能借助這一漏洞控制系統，獲取機密信息，甚至修改設置。”貝爾德斯利，“任何使用Bash的系統都應該立刻打補丁。”

US-CERT建議電腦用戶通過軟件廠商獲取系統升級。該機構還表示，紅帽等Linux系統開發商已經准備好了這樣的更新，但並未提及OS X的升級問題。蘋果發言人尚未對此置評。

谷歌安全研究員塔維斯·奧曼迪(Tavis Ormandy)在Twitter上表示，這些補丁似乎“不完善”。但他並未給出詳細評論，但一些安全專家稱，在Twitter上發表過於簡單的技術評論會引發擔憂。

“這意味即使打了補丁，有些系統依然會被攻破。”安全軟件開發商Veracode CTO克里斯·韋索帕爾(Chris Wysopal)。

他表示，各大企業的安全團隊已經花了一整天來檢查網絡，尋找存在漏洞的設備，並給其打上補丁。如果補丁被證明無效，他們可能採取其他方法措施減少潛在攻擊。

“所有人都在努力給所有接入互聯網的Linux設備打補丁，Veracode今天同樣在從事這一工作。”他，“對於規模龐大、網絡複雜的組織而言，可能需要很長時間才能完成這項工作。”

今年4月發現的“心臟流血”漏洞存在於OpenSSL開源加密軟件中。由於全球約有三分之二的網站使用OpenSSL，導致數百萬網民的用戶數據面臨威脅。因為影響範圍巨大，還迫使數十家科技公司針對數百款使用OpenSSL的品開發了安全補丁。

Bash是一個，或稱命令提示符軟件，由非營利組織“自由軟件基金會”開發。該組織尚未對此發表評論。(鼎宏)