Shellshock：能黑掉 Mac、物联网设备、政军企的漏洞

读到一篇 FT 文章，本周三，“Shellshock漏洞” 被发现——该基础性漏洞可以看作是近十年来最严重的漏洞。何解？利用它，能远程操控政、军、企的计算机系统——这反应了一件事，如今的网络基建已不再适应时代需求。

云安全公司 Adallom 的副总 Tal Klein 打了个比方：整个互联网都在 “如履薄冰”——“很少有人会主动花时间去检查基建的安全度。说回来，这些基建用了这么多年，我们总会想当然，‘嗯，它们没什么问题’。”

Rapid 7 的安全战略师 Trey Ford 从另一个角度加以考虑：“问题是这样的，我们呢一直在某种基础架构上不断创新，但今天使用它的目的和最初建立时的诉求是不一致的。万维网刚过25岁生日，当年就算 Sir Tim Berners-Lee 也想不到如今各种神奇的移动设备吧？人们通过智能手机，从东京打长途、在小屏幕上网、十指之间就能调用资金。不过二、三十年，我们已经走得很远来。”

但 Ford 仍补充：不少企业都在改善互联网基础性能——Google、Rapid 7，当然，还有各色互联网安全公司。但是，唯有当消费者自己更重视安全，企业才倾向于开发注重安全的产品。

目前为止，Shellshock 造成的影响还难以估计——要知道，该漏洞存在了快20年——在 Github上有人已经发布证据：Shellshock 已经被用来网络攻击上了（攻击时间、地点尚不明确）。

这种基础性漏洞有多牛逼？Mac 安全吧？但它基于 Unix ，也可能受漏洞影响，尤其是连到公共WiFi 时。而且，像智能灯泡、智能冰箱、可穿戴设备等物联网玩意也会受入侵。

追查损失还需要一段时间，这时候，用户可通过系统升级或打补丁消除威胁——但必须指出，Shellshock 可能只是最严重的互联网基建漏洞的其中之一。