安全专家发现新漏洞：影响或超“心脏流血”

　　北京时间9月25日早间消息，网络安全专家周三警告称，在Linux系统中广泛使用的Bash软件中发现的一项安全漏洞，对电脑用户造成的威胁，可能比今年4月发现的“心脏流血”漏洞更为严重。
　　安全专家表示，Bash是一款在很多Unix电脑中用于控制命令提示符的软件，黑客可以借助Bash中的漏洞完全控制目标系统。
　　美国国土安全部下属的美国电脑紧急响应团队（以下简称“US-CERT”）发出警告称，这一漏洞可能影响基于Unix的操作系统，包括Linux和苹果Mac OS X。
　　网络安全公司Trail of Bits CEO丹·奇诺（Dan Guido）表示，黑客可以借助“心脏流血”漏洞窃取电脑信息，但却无法完全控制电脑。“这项新漏洞的破解方法也更容易，你只需要复制/粘贴一行代码即可。”
　　供职于网络安全公司Rapid7的工程师托德·贝尔德斯利（Tod Beardsley）警告称，该漏洞的严重性达到了“10级”，意味着它的影响在各类漏洞中处于最高级别，而它的破解难度却“很低”，因此只需要借助相对简单的方式即可发起攻击。
　　“攻击者有可能借助这一漏洞控制系统，获取机密信息，甚至修改设置。”贝尔德斯利说，“任何使用Bash的系统都应该立刻打补丁。”
　　US-CERT建议电脑用户通过软件厂商获取系统升级。该机构还表示，红帽等Linux系统开发商已经准备好了这样的更新，但并未提及OS X的升级问题。苹果发言人尚未对此置评。
　　谷歌安全研究员塔维斯·奥曼迪（Tavis Ormandy）在Twitter上表示，这些补丁似乎“不完善”。但他并未给出详细评论，但一些安全专家称，在Twitter上发表过于简单的技术评论会引发担忧。
　　“这意味着即使打了补丁，有些系统依然会被攻破。”安全软件开发商Veracode CTO克里斯·韦索帕尔（Chris Wysopal）说。
　　他表示，各大企业的安全团队已经花了一整天来检查网络，寻找存在漏洞的设备，并给其打上补丁。如果补丁被证明无效，他们可能采取其他方法措施减少潜在攻击。
　　“所有人都在努力给所有接入互联网的Linux设备打补丁，Veracode今天同样在从事这一工作。”他说，“对于规模庞大、网络复杂的组织而言，可能需要很长时间才能完成这项工作。”
　　今年4月发现的“心脏流血”漏洞存在于OpenSSL开源加密软件中。由于全球约有三分之二的网站使用OpenSSL，导致数百万网民的用户数据面临威胁。因为影响范围巨大，还迫使数十家科技公司针对数百款使用OpenSSL的产品开发了安全补丁。
　　Bash是一个壳，或称命令提示符软件，由非营利组织“自由软件基金会”开发。该组织尚未对此发表评论。 ●