谷歌亞馬遜爭相修復(fù)Shellshock安全漏洞

新浪科技訊 北京時(shí)間9月26日上午消息，在研究人員發(fā)現(xiàn)，最新的Shellshock漏洞可能影響到全球約50%的網(wǎng)絡(luò)服務(wù)器，以及很多蘋果(97.87, -3.88, -3.81%)設(shè)備后，谷歌(575.06, -12.93, -2.20%)和亞馬遜(321.93, -6.28, -1.91%)周四競相修補(bǔ)這一漏洞。

借助這個(gè)名為Shellshock的漏洞，黑客便可控制網(wǎng)站服務(wù)器和聯(lián)網(wǎng)電腦。但與今年春天的“心臟流血”漏洞不同，當(dāng)時(shí)的漏洞迫使40%的美國人修改了密碼，而面對(duì)最新漏洞，普通用戶幾乎束手無策。

黑客可以借助這項(xiàng)軟件漏洞控制遠(yuǎn)程系統(tǒng)，并執(zhí)行命令?；赨nix的操作系統(tǒng)都會(huì)存在這一漏洞，包括蘋果的Mac OS X。例如，網(wǎng)站服務(wù)器可能被黑客劫持，從而向訪客的設(shè)備中植入病毒。無線上網(wǎng)連接也可能被用于控制MacBook Air。

知情人士表示，谷歌已經(jīng)采取了一些措施，在該公司的內(nèi)部服務(wù)器和商業(yè)云計(jì)算服務(wù)中修復(fù)該漏洞。亞馬遜也在周四發(fā)布公告，指導(dǎo)亞馬遜網(wǎng)絡(luò)服務(wù)的客戶如何緩解這一問題造成的影響。

“這個(gè)漏洞很可怕。”網(wǎng)絡(luò)安全公司FireEye研究總監(jiān)達(dá)里恩·欣德隆德(Darien Kindlund)說，“保守來看，全球的網(wǎng)頁服務(wù)器中，約有20%至50%可能受此影響。”

這項(xiàng)漏洞似乎已經(jīng)存在多年。Linux系統(tǒng)開發(fā)商紅帽(55.86, -1.04, -1.83%)表示，Bash模塊的相關(guān)代碼早在1980年就已經(jīng)創(chuàng)建。這意味著之前可能已經(jīng)有過針對(duì)Bash的攻擊——但目前還沒有證據(jù)證明此事。

“真正的專業(yè)組織可能已經(jīng)知道此事。”網(wǎng)絡(luò)安全公司W(wǎng)ebsense CEO約翰·邁高麥克(John McCormack)說。

專家建議用戶關(guān)注廠商提供的安全更新，并格外留心身份不明的無線網(wǎng)絡(luò)。技術(shù)水平較高的用戶，可以按照安全專家特洛伊·亨特(Troy Hunt)提供的方法，對(duì)系統(tǒng)進(jìn)行重新配置。

目前還沒有證據(jù)顯示，已經(jīng)有人針對(duì)Shellshock漏洞發(fā)起了攻擊。然而，在美國國土安全部的漏洞數(shù)據(jù)庫中，該漏洞的潛在破壞性和易被利用的程度均獲得了10分的評(píng)分(最高分為10分)。(書聿)