“Heartbleed”漏洞恐令数十万服务器泄密

据专家透露,运行特定版本OpenSSL的web服务器均存在一个名为“Heartbleed”的漏洞,黑客利用此漏洞可盗走网站用于加密在线交易和web连接的密钥,并导致用户在进行搜索或邮箱登录时个人信息被泄露。

SSL(安全套接层)协议是使用最为普遍网站加密技术,而OpenSSL则是开源的SSL套件,为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。

Heartbleed漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL 1.0.2-beta与OpenSSL 1.0.1在处理TLS heartbeat扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。

据估计受影响的服务器数量可能多达几十万。其中已被确认受影响的网站包括Imgur、OKCupid、Eventbrite以及FBI网站等,不过Google未受影响。

此外,漏洞还可能导致用户信息的泄露。比方说黑客已经可以利用此漏洞通过查看最近访问受影响服务器的用户的cookie来获取其个人信息。已有开发者报告说发现可利用此漏洞查看到以保护用户隐私出名的搜素引擎DuckDuckGo上的用户搜索记录,Yahoo也被发现存在此漏洞导致用户凭证的泄露。

该漏洞2011年就已经被引入,但直到最近才被人发现。受影响服务器必须给自己的OpenSSL打上补丁,同时还需要更改密钥才能避免进一步受到影响。专家建议,为了免受此漏洞影响,用户最安全的应对措施是最近几天都不要参与敏感的网上活动,如购物、使用网银等。

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技, 计算机 标签: ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.