4款VNC開源項目含有37個安全漏洞
安全企業卡巴斯基(Kaspersky)於上周警告,他們在奠基於虛擬網路運算(Virtual Network Computing,VNC)協議的4款開源實例中發現了37個安全漏洞,全都與錯誤的內存使用有關,有些可能造成服務阻斷,但嚴重的可能允許黑客訪問設備上的信息或植入惡意程序。
VNC為一常見的遠程訪問系統,被廣泛部署在技術支持、設備監控、遠程學習或其它目的上,而基於VNC的應用程序通常是由兩個部分組成,一是安裝在計算機上的伺服器,另一是執行在遠程設備的客戶端程序,以用來連接伺服器。
這次卡巴斯基所檢驗的4款開源VNC應用,分別是可用來連接虛擬機的LibVNC、通常應用在工業自動化系統的TightVNC 1.X、被應用在遠程繪圖/3D /視頻對象的TurboVNC,以及專為Windows所設計且被廣泛使用在工業生產中的UltraVNC。
結果研究人員在UltraVNC中發現了22個漏洞,在LibVNC中發現10個漏洞,TightVNC也含有4個漏洞,而TurboVNC則僅有一個漏洞。
在卡巴斯基撰寫報告並公布上述漏洞之前,已先行知會相關的開發人員,除了TightVNC之外,其它多已修補完畢;這是因為開發人員已不再支持TightVNC的第一個版本,而且拒絕修補它們。卡巴斯基則建議用戶應考慮改用其它VNC平台。
此外,研究人員也警告,如同許多的開源項目,含有漏洞的程序代碼可能被應用在其它程序中,但並非所有開發人員都會留心他們所借用的函數庫是否更新,這些程序將依然存有漏洞,而且很可能永遠不會被修補。
卡巴斯基建議網管人員應監控企業架構中的遠程訪問程序,包括檢查哪些設備能夠遠程訪問並移除不必要的訪問許可權,清點所有的遠程訪問應用,以強密碼來保護VNC伺服器,勿連接不可靠或未經測試的VNC伺服器,以及採用專門的安全解決方案等。
