近日出现的一个新型漏洞威胁了包括Mac OS X在内的多个版本的Linux和Unix操作系统,以及路由器和物联网(Internet of Things,IOT)设备。Bash是一个命令语言解释程序(command language interpreter),当用户将指令输入到一个简单文本(text-based)视窗内,操作系统便会按照指令运行。

赛门铁克认为此漏洞相当严重,威胁程度较4月的Heartbleed更甚。如果攻击者成功利用这个被称为“Bash Bug”或“Shellshock”的漏洞,不仅可以取得目标电脑的控制权,还可以继续侵入其他在受影响网络中的电脑。

如何进行攻击以及可能受到影响的设备

虽然该漏洞有可能影响任何一台以Bash运行的电脑,但是它只能允许远程攻击者在某些情况下利用。如果希望实现成功攻击,攻击者需要强制应用程序将恶意环境变数发送至Bash。

攻击最有可能通过被广泛使用的Common Gateway Interface(CGI)网络服务器进行,攻击者可能会利用CGI发送一个畸形的环境变数到低防护的网络服务器。由于服务器使用Bash解读这些变数,这将导致任何附带的恶意指令被同时执行。

攻击者一旦成功利用该网络服务器上的漏洞,便可以将恶意程序下载到受感染的电脑上,并且可以突破受害者电脑的防火墙,感染网络上的其他电脑。

包括Mac OS X等多个版本的Linux和Unix操作系统都有可能受到攻击。以Bash运行的物联网和嵌入式设备,如路由器都有可能受到威胁。但是,许多较新的设备都以一套被称为BusyBox的工具取代了Bash,因此将不会受到此漏洞的威胁。

赛门铁克对企业及消费者的建议

“Bash Bug”漏洞对企业,尤其是经营网站业务的企业构成最大的威胁。攻击者可以存取受害者的数据,并侵入其网络。赛门铁克建议企业及消费者应该立即采用所有供应商提供的修补方案。Linux供应商已经对新发现的漏洞进行修补。如果某些Linux或Unix无法修补漏洞,赛门铁克建议用户暂时转换到其他的Shell。苹果Mac OS X用户应该注意目前操作系统容易受到Bash的攻击,一旦苹果公司发布修补方案,用户应该立即进行修补。

1

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 09:24:00
互联网 谷歌公布6个重大iOS漏洞:可通过iMessage发动攻击
据美国科技媒体ZDNet报道,谷歌旗下安全团队Project Zero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码。 <详情>
2019-07-22 11:19:14
机房建设 人们需要了解影响数据中心服务器的BlueKeep漏洞
行业专家警告说,目前利用BlueKeep漏洞的攻击仍在持续,全球各地至少有上百万台计算机可能受到攻击。 <详情>
2019-02-13 09:57:00
云技术 阿里云服务器被挖矿怎么解决
春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详 <详情>
2019-01-30 19:35:22
互联网 iPhone曝严重漏洞,用户接听FaceTime前或被“监听”!
近日,据 9to5Mac 等多家外媒报道,苹果手机 FaceTime 一项重大漏洞被曝光,该漏洞可以让用户通过 FaceTime 群聊功能(Group FaceTime)打电话给任何人,在对方接受或拒绝 <详情>
2019-01-30 10:33:01
云安全 苹果iOS 12.1重大漏洞被曝光:FaceTime通话可被窃听
向来以注重用户隐私安全为“标签”的苹果这下捅了大篓子——在其运行iOS 12.1及更新版本iOS操作系统的设备上,其预装的FaceTime应用被曝存在重大安全漏洞:在对方接听或者 <详情>