一直以來黑客都利用程式的已知漏洞發動攻擊,而各大廠商也忙於修復產品漏洞。這次反應迅速的廠商就是Netgear,一口氣發佈50項補丁,堵塞其出品的路由器、交換器、NAS裝置和無線AP,其中20項補丁屬於高度危險,其餘30項屬中度危險!
繞過認證、互聯網用戶可取得完全控制
Netgear這次更新的安全漏洞,主要來自該公司推出的漏洞獎金計劃,由其他研究人員所發現。其中最主要的漏洞影到用認證功能,干擾身份認證,並且能夠以不正確機制存取產品的界面。發現該漏洞的研究人員認為Netgear大部份產品都採用相同編碼,所以該漏洞影響大量產品。另一個主要的漏洞是容許互聯網的用戶完全取得路由器的控制權,幸好「Remote Administration」功能預設關閉,但不排除有用戶手動開啟該功能,便有機會因漏洞而遭入侵。
硬件安全更新漸趨重要
根據Netgear的發言人表示,漏洞回報獎金計劃的功效顯著,公司也對漏洞問題十分關注。其實Netgear並非唯一受漏洞影響的網絡設備公司,D-Link、Linksys和ASUS等品牌同樣面對安全漏洞問題。由於物聯網(IoT)逐漸普及,相關硬件裝置的安全問題亦重漸浮面,用戶除了防毒軟件的更新,也不要忘記硬件的韌體的更新。
