一个名为Shellshock的软件漏洞日前曝光,安全专家认为其危害非常严重,可能超过早先发现的“心脏出血”软件漏洞,黑客可能会利用这个漏洞侵入全球范围的网络服务器和众多联网设备。
这个漏洞存在于Unix操作系统中名为Bash的一段开源代码中,可能已隐藏多年,直到23日被研究人员发现并公布。Unix是历史悠久的操作系统,后来的一些操作系统包括开源的Linux、苹果电脑的操作系统都建立在该系统基础上,现在许多公司的网络都使用Unix系统。因此,黑客可以利用这个漏洞控制相关操作系统和网络设备。
美国国家标准与技术研究所将Shellshock漏洞的严重性、影响力和可利用性评为最高的10分,同时对其复杂性的评分较低,这意味着黑客可以相对容易地利用这一漏洞。美国国土安全部计算机应急响应小组就这一漏洞发出警告,建议使用Unix和Linux操作系统的用户及时加上合适的修复补丁。
目前各方网络安全专家正在评估这个漏洞可能会造成的影响。据估计,黑客入侵的高危目标包括网络服务器,以及智能手机、路由器、医疗设备等联网设备。网络安全公司“趋势科技”认为可能受影响的设备数量达5亿。有安全专家认为,该漏洞的影响可能比今年4月发现的“心脏出血”安全漏洞更严重。
电商巨头亚马逊25日发布公告,表示开始指导其客户如何应对Shellshock漏洞。谷歌公司也在采取措施,以解决公司内部服务器和云服务中存在的这个漏洞。
在这个漏洞曝光后,一些Linux软件供应商很快发布了补丁。但研究人员发现其中存在缺陷,补丁并不完整,不能解决问题。安全专家还发现已有黑客利用该漏洞发起攻击,据安全软件开发商卡巴斯基实验室说,一种“蠕虫”病毒已经开始利用该漏洞感染计算机。