[转载]“Heartbleed”漏洞恐令数十万服务器泄密 | 36氪

[转载]“Heartbleed”漏洞恐令数十万服务器泄密 | 36氪.

“Heartbleed”漏洞恐令数十万服务器泄密

据专家透露,运行特定版本 OpenSSL 的 web 服务器均存在一个名为“Heartbleed”的漏洞,黑客利用此漏洞可盗走网站用于加密在线交易和 web 连接的密钥,并导致用户在进行搜索或邮箱登录时个人信息被泄露。

SSL(安全套接层)协议是使用最为普遍网站加密技术,而 OpenSSL 则是开源的 SSL 套件,为全球成千上万的 web 服务器所使用。Web 服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL 中使用 https 打头的连接都采用了 SSL 加密技术。在线购物、网银等活动均采用 SSL 技术来防止窃密及避免中间人攻击

Heartbleed 漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的 Heartbeat 扩展存在漏洞。Heartbeat 扩展为 TLS/DTLS 提供了一种新的简便的连接保持方式,但由于 OpenSSL 1.0.2-beta 与 OpenSSL 1.0.1 在处理 TLS heartbeat 扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。

据估计受影响的服务器数量可能多达几十万。其中已被确认受影响的网站包括 Imgur、OKCupid、Eventbrite 以及 FBI 网站等,不过 Google 未受影响。

此外,漏洞还可能导致用户信息的泄露。比方说黑客已经可以利用此漏洞通过查看最近访问受影响服务器的用户的 cookie 来获取其个人信息。已有开发者报告说发现可利用此漏洞查看到以保护用户隐私出名的搜素引擎 DuckDuckGo 上的用户搜索记录,Yahoo 也被发现存在此漏洞导致用户凭证的泄露

该漏洞 2011 年就已经被引入,但直到最近才被人发现。受影响服务器必须给自己的 OpenSSL 打上补丁,同时还需要更改密钥才能避免进一步受到影响。专家建议,为了免受此漏洞影响,用户最安全的应对措施是最近几天都不要参与敏感的网上活动,如购物、使用网银等。

漏洞的介绍视频:

[消息来源:theguardian.com]

赞(0) 打赏
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏