1990年代风格的安全漏洞让百万路由器面临风险

安全公司SEC Consult Vulnerability Lab发现Linux内核驱动NetUSB包含了一个非常业余的错误，能被攻击者利用远程入侵任何运行该驱动的设备。NetUSB驱动由台湾的盈码科技公司开发，允许PC和MAC通过网络连接到USB设备实现Wifi共享。为了实现共享，网络中的每一部分都需要安装驱动，PC和MAC安装客户端驱动，路由器安装服务器端驱动，其中路由器端的驱动会监听TCP端口20005，正是它包含了一个简单的缓冲溢出漏洞。作为客户端和服务器端通讯的一部分，客户端会发送机器的名字，如果名字长度超过64字节，缓冲溢出就会发生。SEC Consult称，该漏洞可被用于发送拒绝服务攻击和远程代码执行。受影响的产品包括了D-Link、Netgear、TP-Link、Trendnet和ZyXEL。