4款VNC开源项目含有37个安全漏洞

安全企业卡巴斯基（Kaspersky）于上周警告，他们在奠基于虚拟网络运算（Virtual Network Computing，VNC）协议的4款开源实例中发现了37个安全漏洞，全都与错误的内存使用有关，有些可能造成服务阻断，但严重的可能允许黑客访问设备上的信息或植入恶意程序。

VNC为一常见的远程访问系统，被广泛部署在技术支持、设备监控、远程学习或其它目的上，而基于VNC的应用程序通常是由两个部分组成，一是安装在计算机上的服务器，另一是执行在远程设备的客户端程序，以用来连接服务器。

这次卡巴斯基所检验的4款开源VNC应用，分别是可用来连接虚拟机的LibVNC、通常应用在工业自动化系统的TightVNC 1.X、被应用在远程绘图/3D /视频对象的TurboVNC，以及专为Windows所设计且被广泛使用在工业生产中的UltraVNC。

结果研究人员在UltraVNC中发现了22个漏洞，在LibVNC中发现10个漏洞，TightVNC也含有4个漏洞，而TurboVNC则仅有一个漏洞。

在卡巴斯基撰写报告并公布上述漏洞之前，已先行知会相关的开发人员，除了TightVNC之外，其它多已修补完毕；这是因为开发人员已不再支持TightVNC的第一个版本，而且拒绝修补它们。卡巴斯基则建议用户应考虑改用其它VNC平台。

此外，研究人员也警告，如同许多的开源项目，含有漏洞的程序代码可能被应用在其它程序中，但并非所有开发人员都会留心他们所借用的函数库是否更新，这些程序将依然存有漏洞，而且很可能永远不会被修补。

卡巴斯基建议网管人员应监控企业架构中的远程访问程序，包括检查哪些设备能够远程访问并移除不必要的访问权限，清点所有的远程访问应用，以强密码来保护VNC服务器，勿连接不可靠或未经测试的VNC服务器，以及采用专门的安全解决方案等。