您的位置: 网界网 > 安全 > 正文

Heartbleed来势汹汹:网络上最危险的安全漏洞

2014年04月25日 01:47:44 | 作者:佚名 | 来源:雷锋网

摘要:来自OpenSSL的紧急安全警告:OpeonSSL出现“Heartbleed”安全漏洞。这一漏洞让任何人都能读取系统的运行内存。目前已经有了一个紧急补丁,在安装它之前,成千上万的服务器都处于危险之中。

标签
安全
OpenSSL
Heartbleed

来自OpenSSL的紧急安全警告:OpeonSSL出现“Heartbleed”安全漏洞。这一漏洞让任何人都能读取系统的运行内存。目前已经有了一个紧急补丁,在安装它之前,成千上万的服务器都处于危险之中。

这个新发现的bug让黑客能够读取服务器的密码,监控服务器的数据流,甚至可以假扮成服务器。更恐怖的是,这是一个很老的bug:可以追溯到两年前,目前也并不清楚最先发现它的是谁。

OpenSSL在开发者世界之外并不为人所知,但有三分之二的网络服务器依赖它的软件。突然爆出这样的漏洞,服务器管理者们几乎都忙于修补。目前Yahoo已经暴露,专家呼吁用户避开自己的账号,直到Yahoo升级服务器。

这个bug由Google研究人员Neel Mehta发现,它允许用户从服务器运行的内存当中随机截取64K。这有点像钓鱼,黑客不知道哪些数据是有用的,不过由于这一过程可以不断重复,敏感数据的泄漏仍存在巨大风险,特别是服务器的密钥,它们需要一直在运行内存当中,而且很容易识别。这进而能让黑客能够监控服务器的数据流,并有可能破解加密数据。

Apple、Google和Microsoft,还有主要的网络银行,目前看来未受影响。Yahoo则比较不幸,泄露了很多用户凭证。Yahoo表示核心站点目前已经修复,其它站点仍在进行当中。

目前,由开发者Filippo Valsorda开的一个网站提供抽样调查来发现哪些服务器没有修补。已经修补的服务器也需要使用新SSL证书,从而使黑客无法使用泄露的密码。

这个bug将带来怎样的改变目前还太早去知晓,尽管很多网站基础设施依赖OpenSSL,但开源的它受到的资助不足,一些专家就建议多给它一些捐助以帮助应对“Heartbleed”这种漏洞。

[责任编辑:鹿宁宁 lu_ningning]

我也说几句