| 开启辅助访问 DIY
打印 上一主题 下一主题

[其他] OpenSSL 加密技术漏洞 威胁全球三分之二网站

[复制链接]
跳转到指定楼层
楼主
DSL 发表于 2014-4-10 12:29:46
83 3
本帖最后由 DSL 于 2014-4-10 12:41 编辑

网络世界保安敲起严重警号,涉及全球多达三分之二网站。欧美保安专家发现,一项全球普及的互联网加密技术两年来一直存在重大漏洞,令黑客有机会破解普通民众的网上社交活动信息的加密保护,不留痕迹地窃取其密码、储存档案以至银行户口和信用卡资料等重要私隐,数以百万计密码和信用卡号码或因此泄露。

今次漏洞发现於加密软件「OpenSSL」,分别由芬兰科技保安企业Codenomicon的3名员工组成的研究队伍和Google保安的梅塔(Neel Mehta)在上周发现。芬兰团队是在改善公司旗下Defensics电脑防护软件的SafeGuard功能期间知悉,而梅塔则是首名向「OpenSSL」研究队伍通报漏洞的人。

上述研究人员在周一公布发现漏洞。《纽约时报》指漏洞涉及全球2/3网站,Google、facebook、雅虎和亚马逊网上服务等科技巨擘纷纷宣布正在或已经修复问题。科技网站Ars Technica表示,其保安研究员成功利用免费工具,从雅虎电邮窃取资料,雅虎承认网站容易中招,但强调及後已修补旗下各项程式。

研究人员将今次漏洞命名为「心脏出血」(Heartbleed),原因是它与「OpenSSL」系统一项名为「心跳」的功能有关。「OpenSSL」系统是处理互联网SSL加密格式的其一最常见程式库,其「心跳」功能容许黑客向社交和金融服务网站的伺服器送出恶意信息,从而骗取对方泄露机密信息。

Codenomicon行政总裁David Chartier形容这是严重漏洞:「不怀好意者可进入电脑储存,窃取加密钥匙、用户名称、密码和有价值的知识产权,而且不会留下任何痕迹。除非黑客向你勒索,或在网上发布你的资讯,或盗取并利用贸易秘密,你不会知道你有否中招。」

LastPass总裁Joe Sigrist则形容,漏洞可怕之处,在於不知道各公司有什麽信息被窃,亦不知道漏洞被发现前遭黑客利用了多久。《纽约时报》引述保安专家称,有证据显示部分黑客知道漏洞存在,并曾利用过它窃取资料。

网络保安专家指出,相关网站拥有者应尽快将现时采用的「OpenSSL」系统升级。不过建议用户等待,别急着随便修改密码,因为若在尚未修复的网站上修改密码,或令新密码为黑客知悉,因此建议用户先到https://www.ssllabs.com/ssltest/ 网站输入网址,以求证相关网站是否已经修复问题。

(纽约时报/华尔街日报/路透社)

收藏收藏 分享分享
沙发
stfz 发表于 2014-4-10 15:02:58
回复 支持 反对

使用道具 举报

板凳
__cherish 发表于 2014-4-10 18:36:18
啥时候能修复啊
回复 支持 反对

使用道具 举报

地板
__cherish 发表于 2014-4-10 18:36:56
啥时候能修复啊
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

〓 服务信息 | 推荐服务 〓

Copyright @ 2017 OZYOYO.com. All rights reserved.

分享本页

客服号

公众号