近日電腦保安界的最大新聞,是Unix和Linux操作系統中被廣泛應用的Bash程序被發現嚴重安全漏洞。其問題之嚴重,令美國國土安全部向全美各地的公共和私人部門機構發出警告。
而英國情報機構政府通訊總部(GCHQ)也向英國機構發出警告,指該漏洞影響國家的關鍵基礎設施。
這個超級安全漏洞名為Shellshock,據稱比早前發現的Heartbleed更嚴重,影響更多電腦。基本上所有Unix和Linux都內置一個名為Bash Shell的操作環境,而這個Bash的漏洞,可以讓黑客遠端攻擊入侵電腦,並在系統內任意執行程式、竊取資料或進行破壞,予取予攜。
該漏洞在上月中被一名法國Linux愛好者Stéphane Chazelas發現,漏洞讓人透過改變環境變數,來執行程式。
黑客可以利用HTTP、OpenSSH或DHCP端口進行入侵,因此影響所及,幾乎是網絡上所有Unix和Linux的NAS和網頁伺服器。
Mac電腦的OSX作業系統也是基於Unix發展出來,因此也受Shellshock影響。不過,Apple指大部分Mac機都沒有使用Bash,因此不受漏洞影響,沒有入侵風險。只有極少數高端Unix用戶可能自行安裝或啟動有關功能,便有可能被入侵。該公司已發表修補程式讓這些用戶修補漏洞。
由於互聯網上逾半的伺服器都使用Linux作業系統,因此Shellshock的影響範圍十分廣泛。然而,用戶只需啟動系統更新,更新Bash套件,便可以修補有關漏洞。
電郵:ray@openrice.com