OpenSSl漏洞波及全球 重大缺陷或危及网银

From: 时间: 2014/4/10 14:21:12
　【环球科技综合报道 记者 陈健】OpenSSL爆出本年度最严重的安全漏洞，此漏洞在黑客社区中被命名为“心脏出血”漏洞。

“心脏出血”漏洞将影响至少两亿中国网民，初步评估一批https登录方式的主流网站，有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。利用该漏洞，黑客坐在自己家里电脑前，就可以获取到约https开头网址的用户登录账号和密码、cookie等敏感数据。据360网络攻防实验室检测发现，全球开放443端口的主机共有40,041,126个，其中受OpenSSL“心脏出血”漏洞影响的主机有32,335个。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说，它是互联网上销量最大的门锁。而Sean爆出的这个漏洞，则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的，那么在他这里买东西、存钱的用户，其个人最敏感的数据也可能被入侵者获取。360安全专家石晓虹博士告诉记者，OpenSSL此漏洞在黑客社区中被命名为“心脏出血”漏洞，堪称网络核弹，网银、网购、网上支付、邮箱等众多网站受其影响。无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。 BAIDU_CLB_SLOT_ID = "743390";
对于OpenSSL存在的漏洞，阿里巴巴、腾讯、百度、360、京东等中国互联网公司均表示，已经在第一时间对漏洞进行了修复。阿里巴巴回应称，关于OpenSSL某些版本存在基于基础协议的通用漏洞，阿里各网站已经在第一时间进行了修复处理，目前已经处理完毕，包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。百度钱包发布声明称，“近日，OpenSSL漏洞已排山倒海向互联网安全界袭来，攻击者可持续读取服务器内存数据，窃取用户cookie、口令等敏感数据，已确定1.0.1—1.0.1f,1.0.2beta1版本均在此列。百度钱包在这次风暴中未受影响，请大家继续安心使用。”
除此之外，360公司通过进一步分析发现，某高校的网络服务存“心脏出血”漏洞源自于其VPN硬件设备，360提醒用户及时进行检测，如果存在问题，可以第一时间联系硬件设备提供商，通过软件升级或降级等方式进行修复。
针对此次OpenSSL漏洞，有专家建言，作为各大互联网服务商可效仿国外知名云平台厂家Heroku的做法，尽快升级OpenSSL，并在升级后提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。
作为用户，则应该在服务商更新的2-3天内，谨慎的访问https网站，尽可不去登录或者进行任何与支付相关的活动。等到3天之后，或着相关网站明确说明漏洞修复了，再继续使用其服务。