2014年4月8日,OpenSSL的大漏洞曝光。这个漏洞被曝光的黑客命名为“heartbleed”,代表着最致命的内伤。O penS S L“心脏出血”漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30%https开头网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。
OpenSSL此漏洞堪称网络核弹,网银、网购、网上支付、邮箱等众多网站受其影响。无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。 “心脏流血”已经存在两年了,但什么时候被人发现其危险性尚不得而知。
构成该漏洞的原因
OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。
如何补救该漏洞
自这个漏洞被爆出后,全球的黑客与安全专家们已经展开了激烈竞赛。截至4月9日18时,Zoom Eye系统扫描的数据显示中国受影响的大站包括12306网站、微信公众号、Q Q邮箱、支付宝、淘宝网、知乎、陌陌、雅虎、比特币中国、360应用,但上述网站均已完成修复。
据中国报告大厅了解:一般来说如果利用漏洞对技术的要求越高,那么用户和企业受到的影响就会越小。但此次涉及的漏洞有两个特点,一是其涉及的都是最重要的用户信息,容易导致财产的损失;二是他对技术的要求比较低,可利用性非常好,因此危机一瞬间就在世界范围内引爆。
京公网安备 11010502031895号
