日前一個存在達三年的 Linux 零時漏洞日前被揭發,可讓攻擊者取得最高權限。保安公司指這個漏洞影響的範圍甚廣,除了數以千萬計的 Linux 電腦和伺服器外,運行 Kitkat 或以上的 Android 裝置都不能幸免,佔整體 Android 裝置的 66%。
源自 Linux Keyring 漏洞
保安公司 Perception Point 在網誌表示,Linux 3.8 和以上的版本的 keyring 均有漏洞。Perception Point 已就此私下向 Linux 通報。主要 Linux 發布商預計會在這星期內修補這個漏洞,但推出 Android 更新就有難度。由於 3.8 在 2013 年初推出,因此漏洞存在近三年。
Arcs Technica 指出這個漏洞影響可以很大,例如擁有本地存取權限的人可以藉此全權控制伺服器;Kitkat 或以上的 Android 裝置會被惡意程式突破限制,取得系統的最深入操作,或者控制相機和錄音咪等。但保安公司指現時沒有跡象顯示有人利用這個漏洞入侵裝置。
佔 Android 裝置 66% Google:沒那麼多
Perception Point說這個漏洞影響中數以千萬計的 Linux 電腦和伺服器,以及 66% 的 Android 裝置。雖然現時他們或者 Linux 沒有發現有人廣泛地利用這個漏洞進行入侵,他們仍建議人們檢視潛在受影響的裝置,盡快安裝更新。不過Google 表示沒有 66% 那麼多,亦不認為裝置可被第三方程式入侵,但計劃在三月發布更新。
Source : Arcs Technica , ZDNet , PhoneArena