谷歌亚马逊争相修复Shellshock安全漏洞

谷歌亚马逊争相修复 Shellshock 安全漏洞

         北京时间 9 月 26 日上午消息，在研究人员发现，最新的 Shellshock 漏洞可能影响到全球约 50% 的网络服务器，以及很多苹果设备后，谷歌和亚马逊周四竞相修补这一漏洞。

        借助这个名为 Shellshock 的漏洞，黑客便可控制网站服务器和联网电脑。但与今年春天的“心脏流血”漏洞不同，当时的漏洞迫使 40% 的美国人修改了密码，而面对最新漏洞，普通用户几乎束手无策。

        黑客可以借助这项软件漏洞控制远程系统，并执行命令。基于 Unix 的操作系统都会存在这一漏洞，包括苹果的 Mac OS X。例如，网站服务器可能被黑客劫持，从而向访客的设备中植入病毒。无线上网连接也可能被用于控制 MacBook Air。

        知情人士表示，谷歌已经采取了一些措施，在该公司的内部服务器和商业云计算服务中修复该漏洞。亚马逊也在周四发布公告，指导亚马逊网络服务的客户如何缓解这一问题造成的影响。

        “这个漏洞很可怕。”网络安全公司 FireEye 研究总监达里恩·欣德隆德(Darien Kindlund)说，“保守来看，全球的网页服务器中，约有 20% 至 50% 可能受此影响。”

        这项漏洞似乎已经存在多年。Linux 系统开发商红帽表示，Bash 模块的相关代码早在 1980 年就已经创建。这意味着之前可能已经有过针对 Bash 的攻击——但目前还没有证据证明此事。

        “真正的专业组织可能已经知道此事。”网络安全公司 Websense CEO 约翰·迈高麦克(John McCormack)说。

        专家建议用户关注厂商提供的安全更新，并格外留心身份不明的无线网络。技术水平较高的用户，可以按照安全专家特洛伊·亨特(Troy Hunt)提供的方法，对系统进行重新配置。

        目前还没有证据显示，已经有人针对 Shellshock 漏洞发起了攻击。然而，在美国国土安全部的漏洞数据库中，该漏洞的潜在破坏性和易被利用的程度均获得了 10 分的评分(最高分为 10 分)。