鎖定 Shellshock 駭客伺機而動

arcc

（中央社波士頓25日綜合外電報導）

資安研究人員今天警告，駭客開始利用新發現的電腦漏洞 Shellshock，使用運作迅速的蠕蟲病毒來掃描易受攻擊的系統，然後以電腦病毒感染電腦。

Shellshock 是4月發現「心臟出血」（Heartbleed）安全漏洞以來首宗重大網路威脅。Shellshock 被拿來和「心臟出血」比較，部分原因是涉及 Shellshock 漏洞的主要軟體 Bash，也廣泛用於網路伺服器和其他類型電腦設備。

不過他們也說，這個新漏洞有可能造成更大破壞，因為駭客能藉此控制受害電腦，進而摧毀資料、關閉網路或攻擊網站

「心臟出血」漏洞只能讓駭客竊取資料。

資訊安全業正在趕緊查明駭客可遠端破壞哪些系統，但目前沒有易受攻擊系統的估計數據。

亞馬遜公司（Amazon.com Inc.）與谷歌公司（Google Inc）已經發布公告，建議網路服務顧客如何保護自己避免遭受這項新網路威脅。Google 發言人說，Google 正在發布軟體修補程式。

知名網路威脅專家卡明斯基（Dan Kaminsky）表示：「我們真的不知道受害範圍有多廣。這可能是近幾年最難以捉摸的漏洞之一。」

專家指出，要成功發動攻擊，遭鎖定的系統必須能透過網路進入，且除了 Bash 以外，還要使用第2套容易遭入侵程式。

網路安全公司 BeyondTrust 技術長麥弗雷特（MarcMaiffret）說：「外界有很多傳聞，揣測什麼系統容易遭受攻擊，但我們還不知道答案。」他說：「這個問題未來數週與數個月將會繼續發展 。」

（譯者：中央社張曉雯）1030926

=================================================================

（中央社紐約26日綜合外電報導）

網路安全專家警告，新程式漏洞「Bash Bug」可能對數百萬台電腦及家用網路路由器等其他裝置構成嚴重威脅。就連用來管理廠房和發電廠的系統也可能受影響。

以下為關於這個引發最新安全恐慌程式瑕疵的問與答。

＊何謂 Bash Bug？

這種臭蟲又稱「Shellshock」，出現在被普遍使用的系統軟體 Bash 中。Bash 自 1989 年就存在，用於 Linux、蘋果電腦 Mac OS X 等各種以 Unix 為基礎的作業系統中。

＊為何人們說 Bash Bug 比加密軟體安全瑕疵「心臟出血」可怕？

心臟出血能使駭客竊取密碼和其他敏感資料，BashBug 則能使外來者掌控受影響的裝置，以安裝程式或下達指令。

＊Bash已存在25年，為何此漏洞現在成為威脅？

因為Akamai科技公司的查茲拉斯（StephaneChazelas）剛剛發現這項漏洞。心臟出血存在超過2年後才被發現。

＊該擔心嗎？

截至目前為止，Bash Bug 似乎比較像是潛在麻煩，而非重大威脅。對 Mac 使用者而言，比較令人感到煩惱。電腦安全公司 Veracode 技術長魏索帕（ChrisWysopal）表示，Bash Bug 將使駭客更易控制使用咖啡廳或機場等公共 Wi-Fi 的 Mac 電腦。

＊能做什麼因應？

用戶現在無法做些什麼，只能等製造商為自家產品推出補救措施。

（譯者：中央社蔡佳伶）1030926　

消息來源：http://www.nownews.com/n/2014/09/26/1431034
　　　　　http://www.nownews.com/n/2014/09/26/1431033