據wired報道,以色列安全公司perception point在linux核心中發現了一個0day漏洞,會影響數千萬linux電腦和伺服器,以及66%的android手機和平闆。而且漏洞已經存在了三年。
perception表示,漏洞存在于linux密鑰環(keyring),應用可于此存儲認證和加密密鑰,安全資料以及其它敏感資訊。它會讓黑客僞裝成本地使用者,獲得root權限,進而安裝惡意程式,删除檔案,讀取敏感資訊。而且黑客獲得權限的方式很簡單,隻需要一個釣魚連結即可。
誰受到影響?
根據現在的資料,還沒人受到影響,但鑒于受影響裝置衆多,還是需要防範。
perception表示,根據他們和安全社群的調查,目前還沒人使用這一漏洞,但建議安全人員對裝置進行排查,及時安裝更新檔。
受影響的裝置主要是安裝了linux核心3.8及以上版本的電腦和伺服器;另外,由于android也使用了部分linux代碼,是以漏洞也會影響4.4及以上版本的android裝置,而這些約占所有android裝置的69.4%。
google在得知漏洞後也很積極,表示已經準備好了更新檔,今天就會發給各合作公司,而且認為受影響的裝置沒最初預計的那麼多。它表示,nexus裝置不會受第三方應用的影響,android 5.0及以上版本亦不會受影響,許多android 4.4和早期的版本的手機不含linux核心3.8版的漏洞代碼。
這事嚴重嗎?
在企業端,red hat和ubuntu都已經釋出了更新,就差系統管理者打更新檔了;但在android上問題就有點麻煩了。雖然google每月都有安全更新,但它并沒說2月的更新會不是包括新漏洞的更新檔。另外,就算google補上了,使用者還要看營運商和手機廠商的臉,等他們把更新推給自己。是以,有些手機上的漏洞可能永遠不會補上。
還有一個好消息,保護自己手機免受漏洞影響的方式其實很簡單,不随便點陌生連結就行了。
本文轉自d1net(轉載)
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)