各位 unwire.pro 讀者還記得數月前爆出的嚴重資安漏洞 Heartbleed 嗎?雖然 Heartbleed 在被揭發後的一段時間內已在多方合力之下被修補,但世上總有着千萬種不同的漏洞。日前就有研究人員揭發一種威脅可媲美 Heartbleed 的大型漏洞。
破壞力較 Heartbleed 更大
據資安部落格 Errata Security 指,普遍被稱為 Bash 的漏洞正名應為「shellshock」的漏洞可與 Heartbleed 媲美的原因大致有兩點;一為其新形感染方式,導致受影響裝備的清單遲遲未完,情況就有如當時 Heartbleed 出現半年後,仍相繼有服務與裝置被發現可透過 Heartbleed 駭入;二為基於不少裝置地在推出市場不久後,廠方就減慢、甚至停止對其進行支支援,導致不少日常生活中會被忽略的電子產品 – 如網絡鏡頭往往會成為導致問題引伸至現實生活的元兇。
而近年發展越見成熟的物聯網更為最受 shellshock 所影響的一種技術,因為大部份現時的物聯網裝置 – 如上文曾提及的網絡鏡頭所應用的軟件大部分都以 Bash 碼寫成,而有見同類型裝備的市場地位,廠商為它們提供大型更新的可能性亦不見得高,從而令黑客可大舉利用此漏洞為所欲為。
令是次情況更為嚴峻的是,Heartbleed 的影響力只局限於指定版本的 OpenSSL,但為 bash 已被沿用已久,所以是次資安事件受影響的範圍將更廣泛,若然運用得宜,後果可謂不堪設想。
各位 unwire.pro 讀者現時需要擔心的不是服務的主要伺服器,因為服務供應商現時大多應已忙於修補此漏洞;相反,部份在日常中不補特別重視的裝置,如網絡鏡頭、路由器等才需要資安人員的即時關注。
Source:Errata Security
