• 保存到桌面加入收藏设为首页
新闻资讯

OpenSSL安全漏洞:“心脏出血”突袭2亿中国网民

时间:2014-04-10 12:26:50   作者:tanym   来源:南方都市报   阅读:3037   评论:0
内容摘要:自这个漏洞被爆出后,全球的黑客与安全专家们已经展开了激烈竞赛。利用这一漏洞,黑客在电脑前,就可以实时获取到很多https开头网址的用户登录账号密码。
    网络世界究竟有多大的风险?仿若潘多拉的盒子,答案在一夜间迅速揭开。
 
    本周,安全协议Ø笔SL爆出本年度最严重的安全漏洞ħ
 
    虽然多家网站都表示已经完成了修补处理,但有顶级“白帽”(搜索引擎优化业界,使用正当手段优化网站的被称为白帽)向南都记者透露,由于漏洞早在两年前已经被提出,所以这个漏洞影响了多少网站仍在评估当中。金山毒霸安全专家李铁军在接受南都记者采访时表示,建议用户在1- 2天后,即网站升级完成后,再登录网站修改密码,而不是此时“送羊入虎口”。
 
危机在世界范围内毂
 
    SSL是1 9 9 4年最先由网景(N penSSL的开源软件包。
 
    被曝光的Ô penSSL为网焱ㄐ盘峁┌踩及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在一些涉重要个人信息的网站如网银、在线支付、电商网站、门户网站、电子邮件等服务上被广泛使用。
 
    本周,美国方面的研究人员公布该软件存在一个会导致用户通讯内容泄露的重要漏洞,更为致命的是O penSSL存在这种漏洞已有约两年时间。利用这一漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。
 
    具体来说,即SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。但研究人员发现,可以通过其他手段发出恶意心镄畔ⅲ欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
 
    李铁军告诉南都记者,一般来说如果利用漏洞对技术的要求越高,那么用户和企业受到的影响就镌叫 5此次涉及的漏洞有两个特点,一是其涉及的都是最重要的用户信息,容易导致财产的损失;二是他对技术的要求比较低,可利用性非常好,因此危机一瞬间就在世界范围内引爆。
 
    上述顶级“白帽”告诉南都记者,自漏洞首度被曝光后,这几天国内各大网站已经连夜低调地开始大规模修复升级,“白帽”也在加紧测试漏洞影响,除此之外黑客也在加速利用漏洞截取信息。
 
有多少网站受到影响?
 
    如何区分一个网站是否有用该服务,有两个较为简单的方法,一是看网址开头是否显示为https,二是看U R L左侧是否有“锁头”图标。
 
    自这个漏洞被爆出后,全球的黑客与安全专家们已经展开了激烈竞赛。截至昨日下午6点,Zoom Eye系统扫描的数据显示中国受影响的大站包括12306网站、微信公众号、Q Q邮箱、支付宝、淘宝网、知乎、陌陌、雅虎、比特币中国、360应用,但上述网站均已完成修复。
 
    除此之外,YY某服务也受到此次漏洞影响,但并未完成修复。
 
采写:南都记者谢睿实习生黄春惠
 
重点
 
专家建议1-2天后再登录系统修改密码
 
    李铁军建议,由于Ø penSSL漏洞并不涉及客户端,而是在用户向服务端提供信息的过程中,黑客可以利用漏洞从服务器内存中窃取64K B数据,因此不易察觉。他建议,首先用户在使用服务时应该留意是否涉及https开头,如果是以此开头则使用了O penSSL协议,建议用户不要在此时登录网站修改密码,因为很可能是“送羊入虎口”。“建议等各大网站修复升级完成后,待1-2天后再登录系统修改密码,同时最近两天也可以留意账户是否出现异常。”


IDCsped 提供最新的IT互联网资讯,本着分享传播的宗旨,我们希望能帮助更多人了解需要的信息!

部分文章转载自互联网、部分是IDCsped原创文章,如果转载,请注明出处:www.idcsped.com !
微信号:13430280788  欢迎加微信交流!

标签:OpenSSL安全漏洞  “心脏出血”  
相关评论

销售电话:13430280788

Copyright © 2012-2017 | www.idcsped.com 版权所有

  粤公网安备 44010502001126号  粤ICP备12006439号-1