数字安全公司eEye于本周发布安全警告,表示在 D-link 的有线及无线路由器产品中发现缓冲区溢位漏洞,该漏洞可导致黑客发动任意码执行攻击并有可能使整个网络都受到感染。不过目前针对此漏洞的修补程序已经完成,用户可随时下载更新。 eEye表示这次所发现的漏洞会影响使用D-link消费性路由器用户的局域网络(LAN)。该公司营销副总裁Mike Puterbaugh认为,由于D-link路由器产品在中小企业以及家庭网络中相当普遍,因此这次产品漏洞的发生也造成相当严重的影响。
eEye将此漏洞的风险等级列为最高,而丹麦资安公司Secunia则将此漏洞列为中度严重等级,至于赛门铁克也将此漏洞列为等级10,意谓最高风险。
透过此漏洞,黑客对装置发送一长串M-search指令以发动堆栈式的缓冲区溢位攻击。而M-search指令则可以连结至通用插拔网络(UPnP)中以寻找位在同一网络上的其它装置。如果攻击成功,黑客可进一步发动任意码执行攻击并修改韧体以导致整个网络的感染。
D-link发言人表示,由于黑客必须有用户的无线设定或管理员密码才能侵入此漏洞,因此也让这个攻击虽然会导致路由器的重新开机,但并不会造成阻绝式服务的攻击。
(2006-08-14)