新浪科技訊 香港時間6月6日早間消息,本週四,OpenSSL基金會發佈警告稱,一個已存在10年的漏洞可能導致黑客利用通過OpenSSL加密的流量發動“中間人”攻擊。
信息安全專家目前仍試圖解決OpenSSL加密協議中的“心臟流血”漏洞。根據AVG Virus Labs的數據,目前仍有1.2萬個熱門域名存在這一漏洞。而根據OpenSSL基金會此次發佈的消息,黑客可能利用新漏洞去攔截加密流量,對其進行解密,隨後閱讀流量中的內容。
OpenSSL的用戶被建議安裝新的補丁,並升級至OpenSSL軟件的最新版本。這一漏洞的發現者是軟件公司Lepidum的日本研究員Masashi Kikuchi。Lepidum的網站上顯示:“當服務器和客戶端都存在漏洞時,攻擊者可以竊聽及偽造你的通信。”
與能夠導致服務器直接受到攻擊的“心臟流血”漏洞不同,這一新漏洞要求黑客位於兩台通信的計算機之間。例如,使用機場公開WiFi的用戶可能成為被攻擊目標。
這一漏洞自1998年OpenSSL首次發佈以來就一直存在。而“心臟流血”漏洞是在2011年新年OpenSSL進行升級時引入的。
這一漏洞在長達十幾年的時間內一直沒有被發現,這再次表明了OpenSSL管理的缺陷。OpenSSL是開源的,這意味著任何人都可以對其進行評估及更新。由於這一原因,OpenSSL被認為比某家公司開發的私有代碼更安全、更可信。
但實際上,OpenSSL在歐洲只有1名全職開發者,以及3名“核心”的志願程式員,其運營依靠每年2000美元的捐贈。不過,OpenSSL仍被用於加密全球大部分網站的服務器,並被亞馬遜和思科等大公司廣泛使用。
在“心臟流血”漏洞被發現之後,包括亞馬遜、思科、戴爾、Facebook、 Fujitsu 、 Google 、IBM、英特爾、微軟、NetApp、Rackspace、高通和VMware在內的公司都承諾在未來3年內每年投入10萬美元,用於Core Infrastructure Initiative項目。這一新的開源項目由Linux基金會牽頭,用於支撐OpenSSL等關鍵的開源基礎設施。
來源:sina
來源:sina
