安全专家发现新漏洞:影响或超“心脏流血”

北京时间9月25日早间消息,网络安全专家周三警告称,在
Linux系统中广泛使用的Bash软件中发现的一项安全漏洞,对电脑用户造成的威胁,可能比今年4月发现的“
心脏流血”漏洞更为严重。安全专家表示,Bash是一款在很多Unix电脑中用于控制命令提示符的软件,黑客可以借助Bash中的漏洞完全控制目标系统。美国国土安全部下属的美国电脑紧急响应团队(以下简称“US-CERT”)发出警告称,这一漏洞可能影响基于Unix的操作系统,包括Linux和
苹果Mac,OS,X。网络安全公司Trail,of,Bits,CEO丹·奇诺(Dan,Guido)表示,黑客可以借助“心脏流血”漏洞窃取电脑信息,但却无法完全控制电脑。“这项新漏洞的破解方法也更容易,你只需要复制/粘贴一行代码即可。”供职于网络安全公司Rapid7的工程师托德·贝尔德斯利(Tod,Beardsley)警告称,该漏洞的严重性达到了“10级”,意味着它的影响在
各类漏洞中处于最高级别,而它的破解难度却“很低”,因此只需要借助相对简单的方式即可发起攻击。“攻击者有可能借助这一漏洞控制系统,获取机密信息,甚至修改设置。”贝尔德斯利说,“任何使用Bash的系统都应该立刻打补丁。”US-CERT建议电脑用户通过软件厂商获取系统升级。该机构还表示,红帽等Linux系统开发商已经准备好了这样的更新,但并未提及OS,X的升级问题。苹果发言人尚未对此置评。谷歌安全研究员塔维斯·奥曼迪(Tavis,Ormandy)在Twitter上表示,这些补丁似乎“不完善”。但他并未给出详细评论,但一些安全专家称,在Twitter上发表过于简单的技术评论会引发担忧。“这意味着即使打了补丁,有些系统依然会被攻破。”安全软件开发商Veracode,CTO克里斯·韦索帕尔(Chris,Wysopal)说。他表示,各大企业的安全团队已经花了一
整天来检查网络,寻找存在漏洞的设备,并给其打上补丁。如果补丁被证明无效,他们可能采取其他方法措施减少潜在攻击。“
所有人都在努力给所有接入互联网的Linux设备打补丁,Veracode今天
同样在从事这一工作。”他说,“对于规模庞大、网络
复杂的组织而言,可能需要很
长时间才能完成这项工作。”今年4月发现的“心脏流血”漏洞存在于OpenSSL开源加密软件中。由于全球约有三分之二的网站使用OpenSSL,导致数百万网民的用户数据面临威胁。因为影响范围巨大,还迫使数十家科技公司针对数百款使用OpenSSL的产品开发了安全补丁。Bash是一个壳,或称命令提示符软件,由非营利组织“自由软件基金会”开发。该组织尚未对此发表评论。(鼎宏)

时间: 2024-10-05 07:34:40

安全专家发现新漏洞:影响或超“心脏流血”的相关文章

微软IE浏览器再曝漏洞影响或超IE极光漏洞

新华网天津3月10日电(记者张建新)金山安全实验室10日发布橙色安全预警,微软IE浏览器再曝新0day漏洞,该漏洞可能会导致用户电脑成肉鸡.金山安全专家预估,此漏洞一旦被利用,影响或超IE极光漏洞. 金山安全反病毒专家李铁军介绍说,该漏洞利用起来较为简单,但是危害巨大.之前影响巨大的"微软视频0day漏洞"曾被黑客以7万元的高价在互联网上进行兜售,具备同样影响力的IE新0day漏洞可能会以更高的价钱被黑客买卖. 微软报告称,如果用户访问一个恶意网站,这个安全漏洞能够让攻击者控制用户的计

安卓新漏洞影响全球9.3亿人用户,谷歌竟然置之不理?

据安全专家TodBeardsley爆料,去年十月份,谷歌官方收到了一个安全漏洞报告,有人发现在安卓4.3版本中,WebView组件中存在漏洞,威胁系统安全. 按照统计,这一漏洞将影响到全球9.3亿人的安卓用户. 然而谷歌的反应令外界吃惊,谷歌工作人员表示,目前无暇顾及,请外界自行开发补丁解决问题. 据报道,谷歌方面表示,因为受影响的安卓系统早于4.4版本,因此谷歌团队一般不会再自行开发补丁,"但是欢迎外界开发的补丁". 谷歌表示,如果安卓4.4版本之前的系统,安全人士的漏洞报告中,如果

iOS 10.1发现新漏洞:可绕过“激活锁”强行进入主屏

据外媒报道,研究人员发现了一个苹果iOS10.1的新漏洞,这个漏洞能让黑客绕过"激活锁"(Activation Lock)功能,而进入运行最新版本iOS操作系统的iPhone和iPad的主显示屏.据了解,该漏洞已至少有两种变体,可分别用于攻破iOS 10.1和最新的iOS 10.1.1系统. 众所周知,苹果的iPhone具有Find My iPhone服务,允许用户在设备丢失或失窃时激活iPhone.iPad或iPod的"丢失模式"(Lost Mode),这种模式启

iOS 5越狱再添希望 Pod2g发现新漏洞

iOS 5正式发布之后,新版系统的越狱成为了热门关注话题.昨天,国外越狱组织Dev Team的一名成员Pod2g在twitter中宣布已经发现了能够完美越狱iOS 5的新漏洞.Pod2g发现越狱新漏洞Dev Team是国外著名的iPhone设备破解越狱组织,Pod2g就是其成员之一.昨天Pod2g在twitter中表示已经发现了完美越狱iOS 5的新漏洞,尽管不会很快公布这个漏洞,但他会尽最大努力去搞定iOS 5的越狱.此前关于iOS 5越狱的消息一直不断,Dev Team的另一名成员肌肉男甚至

SSL发现新漏洞,主要影响OpenSSL和HTTPS服务

日前两个独立的安全研究组织发布了两个新的.不同的严重漏洞,对象是互联网应用经常用到的OpenSSL加密库.哪些在系统(常见但不限于Linux.Mac OS X.或其它基于UNIX的系统)中使用到OpenSSL的系统管理员们要开始审查补丁,并要尽快的应用这些补丁.需要重点提醒的是,此漏洞包含 DROWN,所以即使不是OpenSSL服务提供者也有非常大的风险.那些个系统中使用了 SSL/TLS 的人们请仔细阅读下面内容,以了解为何是高风险的. DROWN 此次严重漏洞的其中之一被称之为DROWN,其

网络安全研究人员发现新漏洞:或成另一个WannaCry

北京时间5月26日凌晨消息,网络安全研究人员周四称,在使用广泛的一种网络软件中新被发现的一个漏洞令数以万计的电脑可能容易遭受类似于WannaCry病毒的攻击,这种病毒已导致全球范围内的30多万台电脑受到了感染. 美国国土安全部周三宣布了这个漏洞,并敦促用户和管理员打好补丁以防感染.该漏洞可被黑客利用来接管受感染的电脑. 网络安全公司Rapid7的丽贝卡·布朗(Rebekah Brown)向路透社表示,自这个漏洞被发现以来已经过去了12个小时,期间尚无迹象表明有黑客已经利用了这个漏洞.但她表示,研

新漏洞发现,影响 95% 安卓设备

据国外媒体报道,网络安全机构Zimperium周一表示,研究人员已发现一批能影响全球95%的Android设备的系统漏洞.通过这些漏洞,黑客将可以在不被发现的情况下远程访问设备数据.目前,已确认从2.2到5.1版达Android系统均存在漏洞. 漏洞出自Android系统内一个被称为Stagefright的多媒体库,该媒体库中包含了多个高危系统漏洞.Zimperium已计划将在今年8月举行的"黑帽安全大会"上对公众展示其具体研究成果. 利用这些漏洞发起攻击,黑客实际上只需要获得目标用户

Android新漏洞泄露敏感信息:影响近九成用户

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 新浪科技讯 北京时间6月30日上午消息,IBM的研究人员发现,大约有86%的Android手机中都存在一个漏洞.黑客可能借此获取用户的敏感信息,包括银行服务和虚拟专用网络(VPN)的密钥,以及用于解锁设备的PIN码或图形. 该漏洞位于Android KeyStore,这是Android系统的一个敏感区域,专门用于存储密钥和类似的身份信息.借助

安全研究人员在Adobe Flash中发现新的漏洞

近日有报告指出,安全研究人员在Adobe Flash中又发现了新的漏洞,普通PC用户和服务器都受此漏洞影响,Adobe也已经核实了漏洞的存在,它存在于所有允许用户上传内容的基于的Flash应用程序中. 尽管Adobe并没有透露该漏洞的细节,不过根据安全专家的说法,不法分子可以利用该漏洞向网站上传携带病毒的Flash内容,当用户访问该网站时就有可能受病毒感染.一位安全专家警告称,任何允许用户通过浏览器中的Flash上传内容的网站都有可能存在风险. Adobe表示,这并不完全是Flash的问题,其它