手机看新闻
分享到人人
分享到QQ空间人民网IT频道综合报道 昨天,从亚马逊到雅虎,多个国际大牌互联网公司都召开紧急会议,应对最新发现的互联网漏洞“心脏出血(Heart bleed)”,利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括网银、知名购物网站、电子邮件等信息,这是近年来发现的最严重互联网安全漏洞之一。
据了解,多数SSL加密的网站都使用名为OpenSSL的开源软件包。本次爆出的安全漏洞正存在于这款软件中,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。OpenSSL大约两年前就已经存在这一缺陷。
此次“心脏出血”漏洞将影响至少2亿中国网民,经初步评估,一批采用“https”登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。利用这一漏洞,黑客可以坐在自己家中,就获取到用户的登录账号、密码、cookie等敏感数据。
据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。
发现该漏洞的研究人员表示,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。研究人员表示,几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。
昨天下午,国内外大量网站已开始紧急修复此OpenSSL高危漏洞,阿里巴巴、腾讯、百度、360、京东等网站的漏洞都已经修复完毕,一些较滞后的网站三天内也都能修复完毕。
Facebook、雅虎和谷歌发言人昨天均对外表示,已经评估了SSL漏洞,并且给关键服务打上了补丁。微软发言人也表示,“我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响,我们会采取必要措施保护用户。”
有专业人士表示,网民暂时不要急于更换密码,要保持耐心,等待相关网站完成修补安全漏洞之后再更换密码,因为如果网站还未修复漏洞,修改密码的操作反而可能导致新密码被窃。应当关注自己登录的网站是否已经修复,一旦确认漏洞被修复,立即修改密码。
背景知识:什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。网站采用此加密技术后,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。
SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。
什么是“心脏出血”漏洞?
SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
谁发现的这个问题?
该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。
恭喜你,发表成功!
!
