压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　近日，Unix和Linux操作系統廣泛使用的GNU Bourne Again Shell(Bash)發現了一個允許遠程執行代碼的嚴重安全漏洞。這一漏洞已被命名為Shellshock。

　　Shellshock被形容為歷來發現的最嚴重和最普遍的網絡安全漏洞之一，就連技術含量最高的政府和軍方系統也因Shellshock的存在而變得脆弱。因此有專家指出，Shellshock的嚴重程度甚至遠超今年4月導致網絡安全專業人士恐慌的“心臟出血”(Heartbleed)漏洞。

　　據金融時報報道，美國國土安全部已經確認了該漏洞的存在，并向全美各地的公共和私人部門機構發出警告；英國情報機構政府通信總部(GCHQ)向英國機構發出警告，稱這個漏洞影響國家關鍵基礎設施。安全研究人員已經演示了DHCP bash shellshock概念驗證攻擊。

　　Shellshock漏洞的可怕之處主要有兩點：一是無所不在，從web服務器到物聯網設備；二是潛伏時間長達20年，損害和威脅評估極為困難。這兩點都與心臟出血漏洞類似。

　　據Arstechinica報道，Blue Coat公司發現Shellshock漏洞發布后4.5小時內就已經有攻擊者開始掃描利用Shellshock漏洞，而且已經有DDoS僵尸網絡開始在攻擊中利用Shellshock漏洞。但目前尚未有證據表明漏洞發布前前黑客知曉該漏洞，這一點也與心臟出血漏洞類似。

　　這意味著Shellshock漏洞的發布很可能重演心臟出血漏洞的悲劇，漏洞發布導致大量攻擊事件的發生，這為整個安全界提出一個新問題，如何在大多數用戶無法及時修補的情況下，協調優化整個安全業界的漏洞發布機制，將漏洞發布與安全補丁之間的危險窗口期盡量縮短，將附帶損害降至最低。