美國電腦緊急應變中心US-CERT在上周揭露,網路時間協定(Network Time Protocol)開放源碼專案中含有4個安全漏洞,允許駭客遠端執行程式,並影響眾多產品及服務,蘋果隨後即更新OS X作業系統,以修補山獅(Mountain Lion,10.8)、小牛(Mavericks,10.9)與優勝美地(Yosemite,10.10)等版本的作業系統的相關漏洞。

網路時間協定主要是讓各網路系統可同步各種服務及應用系統的時間,開放源碼的NTP專案除了研發NTP外,也製作了NTP的官方參考實作,此次發現的漏洞即是藏匿在此一參考實作中。這些漏洞屬於緩衝區溢位漏洞,讓駭客得以未經授權遠端執行任意程式,或者取得完整性檢查(integrity checking)及認證加密配置(authentication encryption schemes)的資訊。

蘋果則針對Mac OS X 10.8~10.10等3個作業系統版本釋出了安全更新,用戶只要透過Mac App Store即可下載及安裝更新,該更新解決了緩衝區溢位的問題,以避免駭客自遠端執行程式。

相關漏洞不僅影響蘋果,還影響了其他採用NTP專案參考實作的專案或公司,包括FreeBSD專案、OmniTI及Watchguard Technologies等。(編譯/陳曉莉)

 


熱門新聞

Advertisement