世界各国政府和企业在过去48小时里投入紧急行动,来巩固自己的网络安全系统,原因是很多设备(从构成互联网主干的服务器到iPhone)搭载的软件存在一种被称为Shellshock的根本缺陷。
Shellshock被形容为历来发现的最严重和最普遍的网络安全漏洞之一,在严重程度上远超今年4月导致网络安全专业人士恐慌的“心脏出血”(Heartbleed)漏洞,后者让全球成千上万企业和数以百万计的消费者在网络攻击面前不堪一击。
据安全分析人士介绍,就连技术含量最高的政府和军方系统也因Shellshock的存在而变得脆弱。随着敌对国家的政府和犯罪组织寻求利用这个安全漏洞,一些网络攻击正在进行中。
周三,美国国土安全部(Department of Homeland Security)确认了这个漏洞的存在,并向全美各地的公共和私人部门机构发出警告。
“利用这一漏洞,可能让远程攻击者得以在受影响的系统上执行任意代码,”美国国土安全部表示。也就是说,这个漏洞让潜在攻击者不受阻碍地进入计算机系统,无论其目的是利用犯罪手段获利,从事间谍活动还是搞破坏。
美国国土安全部的国家网络安全部门对Shellshock的可利用性打分为10分(总分10分),影响打分为10分(总分10分),总体严重性的打分也是10分,即最具破坏力的评分。相比之下,“心脏出血”只得到5分。英国网络安全机构——政府通信总部(GCHQ)周三向英国机构发出警告,称这个漏洞影响国家关键基础设施。
“应当假定,多数基于服务器的架构都受到影响,”GCHQ的电脑应急响应团队补充称。
这个漏洞存在于Bash(Bourne Again Shell的简称)软件中,该软件在Unix和Linux系统以及它们的衍生物上相当常见。
Bash是一种命令行壳层,即电脑软件系统的基本组成部分,对操作系统本身进行配置。
上述漏洞意味着,黑客能够把自己的命令叠加到Bash发出的合法指令上。
汉娜•库赫勒(Hannah Kuchler)补充报道
译者/和风
No comments:
Post a Comment