2014年4月8日,OpenSSL的大漏洞曝光。這個漏洞被曝光的黑客命名為「heartbleed」,代表著最致命的內傷。O penS S L「心臟出血」漏洞為本年度網際網路上最嚴重的安全漏洞,影響至少兩億中國網民。利用該漏洞,黑客坐在自己家裡電腦前,就可以實時獲取到約30%https開頭網址的用戶登錄帳號密碼,包括大批網銀、購物網站、電子郵件等。
OpenSSL此漏洞堪稱網絡核彈,網銀、網購、網上支付、郵箱等眾多網站受其影響。無論用戶電腦多麼安全,只要網站使用了存在漏洞的OpenSSL版本,用戶登錄該網站時就可能被黑客實時監控到登錄帳號和密碼。 「心臟流血」已經存在兩年了,但什麼時候被人發現其危險性尚不得而知。
構成該漏洞的原因
OpenSSL Heartbleed模塊存在一個BUG,當攻擊者構造一個特殊的數據包,滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之後的數據直接輸出,該漏洞導致攻擊者可以遠程讀取存在漏洞版本的openssl伺服器內存中長達64K的數據。
如何補救該漏洞
自這個漏洞被爆出後,全球的黑客與安全專家們已經展開了激烈競賽。截至4月9日18時,Zoom Eye系統掃描的數據顯示中國受影響的大站包括12306網站、微信公眾號、Q Q郵箱、支付寶、淘寶網、知乎、陌陌、雅虎、比特幣中國、360應用,但上述網站均已完成修復。
據中國報告大廳了解:一般來說如果利用漏洞對技術的要求越高,那麼用戶和企業受到的影響就會越小。但此次涉及的漏洞有兩個特點,一是其涉及的都是最重要的用戶信息,容易導致財產的損失;二是他對技術的要求比較低,可利用性非常好,因此危機一瞬間就在世界範圍內引爆。
京公網安備 11010502031895號
