在macosx、Linux和许多基于Unix的系统的后台运行的命令行中，一个新发现的漏洞允许黑客远程执行对计算机和网站的命令。Bash已经存在了25年，但是这个漏洞是最近才被发现的，有可能利用计算机、设备、网站等进行攻击。在未来的几年里，我们很可能会继续看到来自Shellshock-Bash病毒的损害。什么是Bash？为什么有那么多的东西在使用它？Bash基本上是一个计算机解释器，允许用户在Unix和Linux系统上执行命令，而不需要太多技术。由于该软件是开源的，并且是web服务器的行业标准，所以它被用于各种设备。图片来源：Netcraft世界上超过一半的web服务器都在运行Apache，Apache是一个负责HTTP或超文本传输协议的web服务器应用程序。Apache被认为是互联网的巨大发展。Bash是如何被利用的？Bash允许攻击者在受影响的系统上执行任意代码，而无需任何形式的身份验证。这种类型的攻击称为"代码注入"，有许多环境变量可供黑客利用。如前所述，许多网站运行在易受Shellshock Bash bug攻击的web服务器上。这意味着理论上整个网站都可能被它摧毁。更糟糕的是，有很多设备支持Bash，比如网络摄像机和路由器。家庭自动化工具，如联网灯泡和恒温器也可能受到影响。幸好我用的是Windows。虽然Windows操作系统不受直接影响，但您连接到计算机的设备仍可能使用Bash。用于将Windows计算机连接到internet的路由器很可能运行了易受攻击的操作系统。这和流血一样严重吗？Shellshock Bash bug与几个月前发现的心血漏洞有很多相似之处。虽然漏洞完全不同，但这两种攻击的广泛影响是可比较的。我们将在未来数年看到这两个漏洞的影响。不同的是，心血只会影响网站和服务。Shellshock Bash bug可以影响站点、计算机和许多其他设备。攻击者知道该漏洞并已在使用它。有人创建了一个互联网扫描工具来探测易受Shellshock Bash bug攻击的网站。Ars Technica发现了超过20亿个"符合Shellshock漏洞的特征"的地点我们不知道黑客会走多远。这些黑客可能会制造出能够通过防火墙和自我复制的蠕虫病毒，在用户不注意的情况下感染网络上的大量机器。黑客甚至可以窥探你的个人资料，一旦你的电脑被攻破使用该漏洞。目前，我们正在等待攻击者如何利用该漏洞进行攻击。我能做些什么来保护自己？如果您是Mac用户，并且想知道自己是否有漏洞，可以在终端应用程序（位于Utilities文件夹中）中运行以下脚本。$env x='（）{：；}；回显漏洞'bash-c'echo hello'如果命令显示"vulnerable"和"hello"，那么您的机器很容易受到Shellshock bug的影响。有一种方法可以自己通过重新编译Bash来修补漏洞，但这是非常技术性的，不适合胆小鬼。如果您对命令行感到满意，请前往stackexchange了解如何修补错误的详细信息。普通人会想密切关注苹果的最新消息。对于大多数用户来说，你现在能做的最好的事情就是确保你在你所有的设备上运行最新的软件。我是说所有的人。检查路由器上的固件更新，大多数用户往往会忘记这些更新。请参阅特定路由器的手册，了解如何更新固件，因为每个型号都有不同的步骤。用户还需要注意任何可疑的网站或电子邮件，希望你安装软件。由于这个错误引起了巨大的轰动，你可以肯定的是，黑客会利用人们的恐惧，通过提供虚假的软件解决方案来"修补"你的电脑。除了让你的设备保持最新状态和小心上网之外，对这个bug的控制在很大程度上不在你的掌控之中。您必须等待网站修补其web服务器上的漏洞。来源：Red Hat | Troy Hunt相关故事为什么键盘应用程序需要"完全访问"我的iPhone？Firefox和Thunderbird获得"关键"安全更新Android的下一个版本将默认加密您的数据Adobe Reader和Acrobat的更新修复了安全漏洞在Twitter上关注我：@lewisleong