OpenSSL曝重大漏洞：全球三分之二网站安全风险陡增

　　OpenSSL曝重大漏洞：全球三分之二网站安全风险陡增

　　【TechWeb报道】4月9日消息，据国外媒体报道，安全协议OpenSSL日前爆出严重安全漏洞，而这一漏洞导致使用该协议的各大网银、在线支付、电商网站、门户网站、电子邮件等服务面临的安全风险陡增。

　　SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时，就会在URL地址旁看到一个“锁”，表明你在该网站上的通讯信息都被加密。这个“锁”表明，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。

　　此次被研究人员曝光的漏洞被称为“心脏流血”（Heartbleed）。心脏流血被研究人员描述为：SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。

　　普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示，攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。出现安全漏洞的版本是OpenSSL1.01——该版本2012年3月12日已推出。这意味着数以千万计的网站已经具有潜在危险。

　　目前还没有办法统计因此漏洞而遭受安全威胁的网站数量。发现该漏洞的研究人员指出，当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看，这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中，比如桌面电子邮件客户端和聊天软件。

　　幸运地是，OpenSSL在今年4月7日推出了OpenSSL 1.01g，修复了这个漏洞。