4款VNC開源專案含有37個安全漏洞

資安業者卡巴斯基（Kaspersky）於上周警告，他們在奠基於虛擬網路運算（Virtual Network Computing，VNC）協定的4款開源實作中發現了37個安全漏洞，全都與錯誤的記憶體使用有關，有些可能造成服務阻斷，但嚴重的可能允許駭客存取裝置上的資訊或植入惡意程式。

VNC為一常見的遠端存取系統，被廣泛部署在技術支援、設備監控、遠端學習或其它目的上，而基於VNC的應用程式通常是由兩個部份組成，一是安裝在電腦上的伺服器，另一是執行在遠端裝置的客戶端程式，以用來連結伺服器。

這次卡巴斯基所檢驗的4款開源VNC應用，分別是可用來連結虛擬機器的LibVNC、通常應用在工業自動化系統的TightVNC 1.X、被應用在遠端繪圖/3D/影片物件的TurboVNC，以及專為Windows所設計且被廣泛使用在工業生產中的UltraVNC。

結果研究人員在UltraVNC中發現了22個漏洞，在LibVNC中發現10個漏洞，TightVNC也含有4個漏洞，而TurboVNC則僅有一個漏洞。

在卡巴斯基撰寫報告並公布上述漏洞之前，已先行知會相關的開發人員，除了TightVNC之外，其它多已修補完畢；這是因為開發人員已不再支援TightVNC的第一個版本，而且拒絕修補它們。卡巴斯基則建議使用者應考慮改用其它VNC平台。

此外，研究人員也警告，如同許多的開源專案，含有漏洞的程式碼可能被應用在其它程式中，但並非所有開發人員都會留心他們所借用的函式庫是否更新，這些程式將依然存有漏洞，而且很可能永遠不會被修補。

卡巴斯基建議網管人員應監控企業架構中的遠端存取程式，包括檢查哪些裝置能夠遠端存取並移除不必要的存取權限，清點所有的遠端存取應用，以強密碼來保護VNC伺服器，勿連結不可靠或未經測試的VNC伺服器，以及採用專門的安全解決方案等。