OpenSSL曝重大漏洞:全球三分之二网站安全风险陡增
4月9日消息,据国外媒体报道,安全协议OpenSSL日前爆出严重安全漏洞,而这一漏洞导致使用该协议的各大网银、在线支付、电商网站、门户网站、电子邮件等服务面临的安全风险陡增。
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。
此次被研究人员曝光的漏洞被称为“心脏流血”(Heartbleed)。心脏流血被研究人员描述为:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示,攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。出现安全漏洞的版本是OpenSSL1.01——该版本2012年3月12日已推出。这意味着数以千万计的网站已经具有潜在危险。
目前还没有办法统计因此漏洞而遭受安全威胁的网站数量。发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。
幸运地是,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修复了这个漏洞。