為什麼要為軟件更新?
電腦軟件 (software) 人透過編程 (programming) 撰寫出來,而人在進行創作時,亦難免會有人為錯誤、遺漏、出錯。
簡單遺漏、漏洞例如 –
- 邏輯上的小錯誤 ( x > 0 與 x >= 0 )
- 未有檢查輸入的功能變數 (例如預期輸入銀碼 20 ,但用戶輸入了 $20,變成以文字處理)
- 上載的檔案 (如產品圖片) 未有完整檢查 (尤其是副檔名,例如 .jpg 與 .jpg.exe 或 .jpg.php)
- 預期的執行指令被濫用 (例如在 ls -l <input folder> ,當 <input folder> 被濫用輸入為 “/home ; reboot” ,就可以成為 ls -l /home ; reboot)
- 輸入的功能變數未加入防禦 (如 SQL injection)
這些錯誤會導致什麼後果 ?
- 小側導致電腦程式停頓/運行終止 (crashed, or Daniel of Service);
- 中側被注入惡意程式,讓黑客遙距監控電腦、伺服器,發送垃圾郵件、被加入參予不法行為 (成為 DDoS 中殭屍網絡一員,勒索著名網站,否則 DDoS 攻擊) 等;
- 大側可以導致數據庫資料洩漏 (data leak),例如購物網站裡的客人資料(姓名、電話、地址、電郵、過往購買紀錄等),直接打擊商戶信譽,對商戶機構形成一定潛在風險。
若要善用互聯網的方便,用戶需要同時考慮如何減低互聯網帶來的風險,備份與定時的軟件更新是有所必要的。
過往部份重大的軟體漏洞摘要 –
- 2001 – IIS – code red
- 2010 – ProFTPd FTP server – remote code execution
- 2014 – SSL 3.0 broken
- 2014 – Revolution Slider (a famous WordPress plugin)
- 2015 – Joomla – unauthenticated remote code execution
- 2015 – Nearly all Linux – glibc – aka GHOST (CVE-2015-7547)
- 2017 – Exim SMTP server – chunking issue – Remote code execution
- 2018 – Drupal – Remote Code Execution –
- 2018 – ECShop – Remote Code Execution
- 2019 – Remote Desktop – Remote Code Execution – CVE-2019-0708
硬件上漏洞 –
- 2017 – Meltdown, Spectre
- 2019 – MDS
部份嚴重數據洩漏
Recent Comments