據Wired報道,以色列安全公司Perception Point在Linux內核中發現了一個0day漏洞,會影響數千萬Linux電腦和服務器,以及66%的Android手機和平板。而且漏洞已經存在了三年。
Perception表示,漏洞存在于Linux密鑰環(keyring),應用可于此存儲認證和加密密鑰,安全數據以及其它敏感信息。它會讓黑客偽裝成本地用戶,獲得root權限,從而安裝惡意程序,刪除文件,讀取敏感信息。而且黑客獲得權限的方式很簡單,只需要一個釣魚鏈接即可。
誰受到影響?
根據現在的數據,還沒人受到影響,但鑒于受影響設備眾多,還是需要防范。
Perception表示,根據他們和安全社區的調查,目前還沒人使用這一漏洞,但建議安全人員對設備進行排查,及時安裝補丁。
受影響的設備主要是安裝了Linux內核3.8及以上版本的電腦和服務器;另外,由于Android也使用了部分Linux代碼,所以漏洞也會影響4.4及以上版本的Android設備,而這些約占所有Android設備的69.4%。
Google在得知漏洞后也很積極,表示已經準備好了補丁,今天就會發給各合作公司,而且認為受影響的設備沒最初預計的那么多。它表示,Nexus設備不會受第三方應用的影響,Android 5.0及以上版本亦不會受影響,許多Android 4.4和早期的版本的手機不含linux內核3.8版的漏洞代碼。
這事嚴重嗎?
在企業端,Red Hat和Ubuntu都已經發布了更新,就差系統管理員打補丁了;但在Android上問題就有點麻煩了。雖然Google每月都有安全更新,但它并沒說2月的更新會不是包括新漏洞的補丁。另外,就算Google補上了,用戶還要看運營商和手機廠商的臉,等他們把更新推給自己。所以,有些手機上的漏洞可能永遠不會補上。
還有一個好消息,保護自己手機免受漏洞影響的方式其實很簡單,不隨便點陌生鏈接就行了。
京公網安備 11010502049343號