Atlas VPN
來自美國的VPN服務供應商Atlas VPN上周遭踢爆含有零時差漏洞,將允許駭客取得用戶的真實IP,此一漏洞僅影響Linux版用戶,目前Atlas VPN正著手修補,尚未釋出安全更新。
此一漏洞的曝光源自於一名Reddit用戶的公開貼文,而他似乎是因一直無法聯繫到Atlas VPN的安全團隊才決定昭告天下,根據其描述,AtlasVPN Linux客戶端是由兩個部分所組成,一是用來管理連結的守護進程(atlasvpnd),二則是使用者用來控制連線、斷線及可存取服務的客戶端(atlasvpn)。
不過,客戶端並非透過本地端通道(Local Socket)或任何其它安全方式連結,而是於本地主機的8076埠上開啟一個API,亦無任何的驗證機制,由於在電腦上所執行的任何程式皆可存取該傳輸埠,包括瀏覽器在內,使得駭客只要在網站植入一個惡意的Javascript就能向該埠送出偽造的請求以將該VPN斷線,再發送另一個請求取得Atlas VPN用戶的真實IP。
該名使用者不僅公布了漏洞細節,也提供了概念性驗證攻擊程式,另一名安全工程師Chris Partridge則證實了該攻擊程式是可行的。
Atlas VPN提供免費版與付費版的VPN服務,所支援的作業系統涵蓋Windows、macOS、Linux、Android、iOS、Android TV與Amazon Fire TV,但此一安全漏洞僅影響Atlas VPN Linux客戶端1.0.3,這是目前最新的Linux客戶端版本。
Atlas VPN的IT部門終於在3天後回應了該貼文,表示正在修補該漏洞,並將儘速釋出更新版,也已通知所有的Linux用戶。
熱門新聞
2024-11-22
2024-11-15
2024-11-24
2024-11-15
2024-11-24
2024-11-22