为什么要为软件更新?
电脑软件 (software) 人透过编程 (programming) 撰写出来,而人在进行创作时,亦难免会有人为错误、遗漏、出错。
简单遗漏、漏洞例如 –
- 逻辑上的小错误 ( x > 0 与 x >= 0 )
- 未有检查输入的功能变量 (例如预期输入银码 20 ,但用户输入了 $20,变成以文字处理)
- 上载的文件 (如产品图片) 未有完整检查 (尤其是扩展名,例如 .jpg 与 .jpg.exe 或 .jpg.php)
- 预期的执行指令被滥用 (例如在 ls -l <input folder> ,当 <input folder> 被滥用输入为 “/home ; reboot” ,就可以成为 ls -l /home ; reboot)
- 输入的功能变量未加入防御 (如 SQL injection)
这些错误会导致什么后果 ?
- 小侧导致电脑程式停顿/运行终止 (crashed, or Daniel of Service);
- 中侧被注入恶意程式,让黑客遥距监控电脑、服务器,发送垃圾邮件、被加入参予不法行为 (成为 DDoS 中僵尸网络一员,勒索著名网站,否则 DDoS 攻击) 等;
- 大侧可以导致数据库资料洩漏 (data leak),例如购物网站里的客人资料(姓名、电话、地址、电邮、过往购买纪录等),直接打击商户信誉,对商户机构形成一定潜在风险。
若要善用互联网的方便,用户需要同时考虑如何减低互联网带来的风险,备份与定时的软件更新是有所必要的。
过往部份重大的软体漏洞摘要 –
- 2001 – IIS – code red
- 2010 – ProFTPd FTP server – remote code execution
- 2014 – SSL 3.0 broken
- 2014 – Revolution Slider (a famous WordPress plugin)
- 2015 – Joomla – unauthenticated remote code execution
- 2015 – Nearly all Linux – glibc – aka GHOST (CVE-2015-7547)
- 2017 – Exim SMTP server – chunking issue – Remote code execution
- 2018 – Drupal – Remote Code Execution –
- 2018 – ECShop – Remote Code Execution
- 2019 – Remote Desktop – Remote Code Execution – CVE-2019-0708
硬件上漏洞 –
- 2017 – Meltdown, Spectre
- 2019 – MDS
部份严重数据洩漏
Recent Comments