原標(biāo)題 年度最嚴(yán)重安全漏洞波及2億網(wǎng)民
可導(dǎo)致用戶賬號(hào)密碼泄露�����;國(guó)內(nèi)網(wǎng)站緊急修復(fù)����,U盾不受影響
昨天,安全協(xié)議OpenSSL爆出本年度最嚴(yán)重的安全漏洞“心臟出血”����。利用該漏洞,黑客坐在自己家里電腦前����,就可以實(shí)時(shí)獲取到很多https開頭網(wǎng)址的用戶登錄賬號(hào)密碼���,包括網(wǎng)銀、知名購(gòu)物網(wǎng)站����、電子郵件等信息。昨天下午���,國(guó)內(nèi)大量網(wǎng)站已開始緊急修復(fù)此OpenSSL高危漏洞����,中國(guó)金融認(rèn)證中心則發(fā)文表示���,網(wǎng)銀受到的影響較少��,U盾可以放心使用�����。
國(guó)內(nèi)2億網(wǎng)民面臨泄密風(fēng)險(xiǎn)
4月7日凌晨����,國(guó)內(nèi)就出現(xiàn)了針對(duì)OpenSSL“心臟出血”漏洞的黑客攻擊跡象����。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)國(guó)內(nèi)120萬(wàn)家經(jīng)過(guò)授權(quán)的網(wǎng)站掃描����,其中有11440個(gè)網(wǎng)站主機(jī)受該漏洞影響����。4月7日、4月8日期間�����,共計(jì)約2億網(wǎng)民訪問(wèn)了存在OpenSSL漏洞的網(wǎng)站���。
360安全專家石曉虹博士表示,OpenSSL此漏洞堪稱“網(wǎng)絡(luò)核彈”����,網(wǎng)銀、網(wǎng)購(gòu)��、網(wǎng)上支付�、郵箱等都會(huì)受到影響。因?yàn)橛泻芏嚯[私信息都存儲(chǔ)在網(wǎng)站服務(wù)器的內(nèi)存中���,無(wú)論用戶電腦多么安全�,只要網(wǎng)站使用了存在漏洞的OpenSSL版本,用戶登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼����。
目前還沒(méi)有具體的統(tǒng)計(jì)數(shù)據(jù)顯示這次漏洞造成多大的經(jīng)濟(jì)損失,但發(fā)現(xiàn)該漏洞的研究人員指出���,當(dāng)今最熱門的兩大網(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL�����?���?傮w來(lái)看��,這兩種服務(wù)器約占全球網(wǎng)站總數(shù)的三分之二��。
國(guó)內(nèi)網(wǎng)站緊急修復(fù)
據(jù)悉���,發(fā)現(xiàn)該漏洞的研究人員幾天前就已經(jīng)通知OpenSSL團(tuán)隊(duì)和重要的利益相關(guān)者���。這讓OpenSSL得以在漏洞公布當(dāng)天就發(fā)布了修復(fù)版本���。為了解決該問(wèn)題,各大網(wǎng)站需要盡快安裝最新版OpenSSL���。
昨天下午����,國(guó)內(nèi)大量網(wǎng)站已開始緊急修復(fù)此OpenSSL高危漏洞�,但是修復(fù)此漏洞普遍需要半個(gè)小時(shí)到一個(gè)小時(shí)時(shí)間,大型網(wǎng)站修復(fù)時(shí)間會(huì)更長(zhǎng)一些����。
Facebook、雅虎和谷歌發(fā)言人昨天均對(duì)外表示���,已經(jīng)評(píng)估了SSL漏洞�����,并且給關(guān)鍵服務(wù)打上了補(bǔ)丁。微軟發(fā)言人也表示�,“我們正在關(guān)注OpenSSL問(wèn)題的報(bào)道。如果確實(shí)對(duì)我們的設(shè)備和服務(wù)有影響�����,我們會(huì)采取必要措施保護(hù)用戶?���!?
截至發(fā)稿前,包括阿里巴巴�、騰訊等多個(gè)大型互聯(lián)網(wǎng)服務(wù)商通過(guò)官微宣布,已經(jīng)修復(fù)了該OpenSSL漏洞�����。
昨天����,中國(guó)金融認(rèn)證中心(CFCA)官方網(wǎng)站掛出文章,針對(duì)OpenSSL漏洞對(duì)網(wǎng)銀的影響進(jìn)行了說(shuō)明��,其表示���,網(wǎng)銀系統(tǒng)均使用商業(yè)級(jí)的SSL加密設(shè)備��,很少有采用類似OpenSSL這樣的開源軟件��,因此受到的影響較少�����。而對(duì)于普通用戶����,U盾可以完全放心使用。對(duì)于不能確認(rèn)的網(wǎng)站�,可通過(guò)一些免費(fèi)的在線工具驗(yàn)證一下訪問(wèn)的網(wǎng)站是否存在這個(gè)漏洞。如果存在此漏洞的話�,先暫停訪問(wèn),等待漏洞得到修復(fù)�����。
名詞解釋
OpenSSL
SSL是一種流行的加密技術(shù)���,可以保護(hù)用戶通過(guò)互聯(lián)網(wǎng)傳輸?shù)碾[私信息�����。SSL最早在1994年由網(wǎng)景推出��,上世紀(jì)90年代以來(lái)已經(jīng)被所有主流瀏覽器采納。目前該技術(shù)在各大網(wǎng)銀、在線支付����、電商網(wǎng)站、門戶網(wǎng)站����、電子郵件等重要網(wǎng)站上廣泛使用。
當(dāng)用戶訪問(wèn)一些安全網(wǎng)站時(shí)�,會(huì)在URL地址旁看到一個(gè)“鎖”,表明你在該網(wǎng)站上的通訊信息都被加密��。這個(gè)“鎖”表明��,第三方無(wú)法讀取你與該網(wǎng)站之間的任何通訊信息�����。在后臺(tái)�,通過(guò)SSL加密的數(shù)據(jù)只有接收者才能解密。
多數(shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包�����。本次爆出的安全漏洞正存在于這款軟件中��,該漏洞導(dǎo)致攻擊者可以遠(yuǎn)程讀取存在漏洞版本的openssl服務(wù)器內(nèi)存中長(zhǎng)達(dá)64K的數(shù)據(jù)。OpenSSL大約兩年前就已經(jīng)存在這一缺陷�����。
(實(shí)習(xí)編輯 杜林杰)
掃一掃上新西部網(wǎng)
不良信息舉報(bào)窗口
