2014年4月8日,微軟宣稱將不再爲WindowsXP提供技術支持,當大多數人在憂慮如何保護個人電腦安全時,OpenSSL卻爆出本年度最嚴重的安全漏洞!無論用戶電腦多麼安全,只要登陸的網站使用了存在漏洞的OpenSSL版本,就可能被黑客實時監控到登錄賬號和密碼。
OpenSSL是什麼?
SSL(安全套接層)協議是使用最爲普遍的網站加密技術,URL 中使用 https 打頭的連接都採用了 SSL 加密技術。OpenSSL 則是開源的 SSL 套件,是爲網絡通信提供安全及數據完整性的一種安全協議,它通過一種開放源代碼的SSL協議,實現網絡通信的高強度加密。
這也就是說,OpenSSL的存在,就是一個多用途的、跨平臺的安全工具,由於它非常安全,所以被廣泛地用於各種網絡應用程序中。Lifehacker指出,全球大約66%的網絡使用OpenSSL加密數據。
Heartbleed,當前互聯網最危險的漏洞
DNSPod安全專家表示,Heartbleed 漏洞之所以得名,是因爲用於安全傳輸層協議(TLS)及數據包傳輸層安全協議(DTLS)的 Heartbeat 擴展存在漏洞。該漏洞發生在OpenSSL對TLS的心跳擴展(RFC6520)的實現代碼中,由於遺漏了一處邊界檢查,使攻擊者無需任何特權信息或身份驗證,就能夠從內存中讀取請求存儲位置之外的多達64 KB的數據,可能包含證書私鑰、用戶名與密碼、聊天消息、電子郵件以及重要的商業文檔和通信等數據。
利用Heartbleed漏洞,黑客坐在自己家裏電腦前,就可以實時獲取到很多以https開頭網址的用戶登錄賬號密碼,雖然目前此漏洞影響多少網站我們並不能給出準確數字,但是我們經常訪問的支付寶、淘寶、微信公衆號、YY語音、陌陌、雅虎郵件、網銀、門戶等各種網站,基本上都被爆出了問題。而在國外,受到波及的網站也數不勝數,就連大名鼎鼎的NASA(美國航空)也在其中。
如何應對Heartbleed漏洞帶來的危害?
由於本次Heartbleed漏洞目前已經影響波及大量互聯網公司。操作系統公司正在向他們的客戶提供OpenSSL補丁。到目前爲止,固定Linux操作系統包括:CentOS,Debian,Fedora,Red Hat,openSUS,Ubuntu,SUSE Linux Enterprise Server(SLES)沒有影響。
使用OpenSSL的用戶可以升級到最新版本OpenSSL 1.0.1g修復該漏洞,無法立即升級的用戶可以以-DOPENSSL_NO_HEARTBEATS開關重新編譯OpenSSL,1.0.2-beta版本的漏洞將在beta2版本修復。
用戶網上交易之前,可通過http://filippo.io/Heartbleed/檢測網站是否存在該漏洞,如果被標爲紅色就暫時不要登錄。