更多

    提交有漏洞 Linux 修補 華為急與工程師割蓆

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    牛奶公司中勒索軟件 疑導致宜家家居停業

    由牛奶公司經營的香港宜家家居,在上星期突然全線停業,連網店同樣無運作。公司當時解釋是收銀櫃枱出現技術問題。美國專門報道網絡安全的傳媒 BleedingComputer 指出,牛奶公司自 1 月 14 日起受到黑客組織 REvil 的勒索軟件攻擊,內部網絡部分電腦和伺服器遭加密,更有傳黑客勒索 3,000 萬美元贖金。

    Klook 疫市獲 2 億美元新融資 建商戶 SaaS 方案

    由中國武漢擴散全球的新型冠狀病毒疫情重創各國旅遊業,從事預訂旅遊服務的本地創業公司 Klook 仍獲投資者注資,完成2億美元E輪融資。他們透露,新資金將用於加快發展商戶的 SaaS 平台。

    換帥股價急升

    一間公司的行政總裁離職,公司股價立即彈起,可謂投資者對管理層最實際的評價。英特爾日前公布行政總裁Bob Swan會在2月15日離職,還選定繼任人Pat Gelsinger回巢擔大旗。消息一出,公司股價即時急升超過10%。

    在開發社群 Openwall 上,最近有人以華為員工身分上傳「 HKSP 」( Huawei Kernel Self Protection )專案的 Linux 核心修補程式碼。資訊安全團隊 GRsecurity 檢視修補程式碼發現安全漏洞,萬一採納成 Linux 核心,會為系統設下後門。被踢爆之後,華為急急發聲明割蓆,強調修補碼與官方無關。

    由於 HKSP 採用華為名字,一般的合理推測與華為有關。 GRsecurity 在 5 月 10 日發表網誌揭露事件。他們指出,檢視 HKSP 的程式碼後,發現雖然是修補漏洞,但卻引發另一漏洞,而且新漏洞是出於欠缺安全意識的編碼,可輕易加以利用( trivially exploitable )。

    在開源社群,大型科技企業不時回饋社群,貢獻加強功能的程式碼。然而,這次涉及華為較為敏感。萬一社群採納這華為員工的漏洞程式碼,將令數以萬計伺服器中門大開,別有用心的人可輕易取得內裡的數據。

    事件遭公開後,華為在翌日發出官方聲明,否認修補程式屬官方版本,而開發人員上傳 Openwall 的示範程式碼,也未用於所有華為裝置中。而該名原作員工就在專案內補充,指程式碼屬個人工餘的研究結果,與公司無關,由於個人精力有限,無法面面俱到。他亦感謝 GRSecurity 指出臭蟲,移除有問題的程式碼,並刪走與華為有關的字句。

    GRSecurity 翌日更新網誌,提到華為與他們聯絡,望能修正描述。不過, GRSecurity 未有修改,還補充資訊。從公開訊息得知,原作者為華為員工,而私下獲告知,此君屬第 20 級的首席安全部門員工,亦是內部技術人員的最高級別,絕非一般開發人員。

    您會感興趣的內容

    相關文章