NO IMAGE

2014年4月8日,微軟宣稱將不再為WindowsXP提供技術支援,當大多數人在憂慮如何保護個人電腦安全時,OpenSSL卻爆出本年度最嚴重的安全漏洞!無論使用者電腦多麼安全,只要登陸的網站使用了存在漏洞的OpenSSL版本,就可能被黑客實時監控到登入賬號和密碼。

OpenSSL是什麼?

SSL(安全套接層)協議是使用最為普遍的網站加密技術,URL 中使用 https 打頭的連線都採用了 SSL 加密技術。OpenSSL 則是開源的 SSL 套件,是為網路通訊提供安全及資料完整性的一種安全協議,它通過一種開放原始碼的SSL協議,實現網路通訊的高強度加密。

這也就是說,OpenSSL的存在,就是一個多用途的、跨平臺的安全工具,由於它非常安全,所以被廣泛地用於各種網路應用程式中。Lifehacker指出,全球大約66%的網路使用OpenSSL加密資料。

Heartbleed,當前網際網路最危險的漏洞

DNSPod安全專家表示,Heartbleed 漏洞之所以得名,是因為用於安全傳輸層協議(TLS)及資料包傳輸層安全協議(DTLS)的 Heartbeat 擴充套件存在漏洞。該漏洞發生在OpenSSL對TLS的心跳擴充套件(RFC6520)的實現程式碼中,由於遺漏了一處邊界檢查,使攻擊者無需任何特權資訊或身份驗證,就能夠從記憶體中讀取請求儲存位置之外的多達64 KB的資料,可能包含證書私鑰、使用者名稱與密碼、聊天訊息、電子郵件以及重要的商業文件和通訊等資料。

利用Heartbleed漏洞,黑客坐在自己家裡電腦前,就可以實時獲取到很多以https開頭網址的使用者登入賬號密碼,雖然目前此漏洞影響多少網站我們並不能給出準確數字,但是我們經常訪問的支付寶、淘寶、微信公眾號、YY語音、陌陌、雅虎郵件、網銀、門戶等各種網站,基本上都被爆出了問題。而在國外,受到波及的網站也數不勝數,就連大名鼎鼎的NASA(美國航空)也在其中。

如何應對Heartbleed漏洞帶來的危害?

由於本次Heartbleed漏洞目前已經影響波及大量網際網路公司。作業系統公司正在向他們的客戶提供OpenSSL補丁。到目前為止,固定Linux作業系統包括:CentOS,Debian,Fedora,Red Hat,openSUS,Ubuntu,SUSE Linux Enterprise Server(SLES)沒有影響。

使用OpenSSL的使用者可以升級到最新版本OpenSSL 1.0.1g修復該漏洞,無法立即升級的使用者可以以-DOPENSSL_NO_HEARTBEATS開關重新編譯OpenSSL,1.0.2-beta版本的漏洞將在beta2版本修復。

使用者網上交易之前,可通過http://filippo.io/Heartbleed/檢測網站是否存在該漏洞,如果被標為紅色就暫時不要登入。