新發現Bash軟件安全漏洞 威脅恐比“心臟流血”更大

據路透社報道，網絡專家周三警告稱(cheng)，他們在廣泛(fan)使用(yong)的(de)(de)Linux軟件Bash中新發現(xian)了一個安(an)全漏洞。該漏洞對電腦用(yong)戶構(gou)成的(de)(de)威(wei)脅可能比今年4月發 現(xian)的(de)(de)“心臟流血”(Heartbleed)漏洞更(geng)大。Bash是一款軟件，被用(yong)于控(kong)制眾多Linux電腦上(shang)的(de)(de)命令提示符。安(an)全專家稱(cheng)，黑客可以利用(yong) Bash中的(de)(de)漏洞完(wan)全控(kong)制目(mu)標系統。

美國(guo)國(guo)土安全部下(xia)屬計算(suan)機緊急響應(ying)小(xiao)組(zu)(US-CERT)發布警告稱，Bash漏洞將影響基于Unix平臺(tai)的(de)操作系統(tong)(tong)，包括(kuo)(kuo)Linux和Mac OS X。US-CERT建(jian)議電腦(nao)用戶從軟(ruan)件開發商(shang)處獲取系統(tong)(tong)更新(xin)。US-CERT稱，包括(kuo)(kuo)紅(hong)帽在內的(de)Linux系統(tong)(tong)提(ti)供商(shang)已經準備好(hao)了更新(xin)補丁，但(dan)未提(ti)及OS X是否提(ti)供系統(tong)(tong)更新(xin)。蘋果(guo)發言人無法取得聯系。

谷歌安(an)(an)全研究員塔維斯(si)·奧曼迪(Tavis Ormandy)在(zai)Twitter上表(biao)示，Linux系統提供商推出的(de)補(bu)丁似乎“并不完(wan)整”，這引發了幾位安(an)(an)全專家的(de)擔憂。

網絡(luo)安全公司Rapid7工(gong)程(cheng)部經理托德(de)(de)·貝爾德(de)(de)斯利(li)(Tod Beardsley)警告稱，Bash漏洞的嚴(yan)重級別(bie)為“10”，意味著(zhu)它對用戶(hu)電腦的威脅最(zui)大。Bash漏洞的利(li)用復雜度(du)級別(bie)為“低”，意味著(zhu)黑(hei)客可以相對輕松地利(li)用它發動攻擊。

另(ling)有(you)網絡安(an)全(quan)公(gong)司Trail of Bits的CEO丹·古德(Dan Guido)表示，“心臟流血”漏洞(dong)(dong)能(neng)夠(gou)允許黑客(ke)監控用(yong)戶(hu)電(dian)腦，但不會取得控制權。此外，利用(yong)Bash漏洞(dong)(dong)的方法也更簡(jian)單——只(zhi)需要剪(jian)切和粘貼一行代(dai)碼即可。

“心臟(zang)流(liu)血”是今年4月(yue)在開(kai)源(yuan)加密軟件OpenSSL中(zhong)發現的(de)一處漏洞。由于OpenSSL已用于全(quan)球(qiu)三分(fen)之(zhi)二的(de)網站中(zhong)，所以“心臟(zang)流(liu)血”漏洞對數(shu)(shu)百(bai)萬人(ren)的(de)數(shu)(shu)據構成(cheng)了威(wei)脅。該漏洞迫(po)使數(shu)(shu)十(shi)家科技公(gong)司為數(shu)(shu)百(bai)款使用OpenSSL的(de)產品發布了安(an)全(quan)補丁(ding)。