首頁 -> 安全研究

安全研究

業界動態
互聯網曝重大安全漏洞 全球六成網站“心臟出血”

發布日期:2014-04-13


新華網

  據參考消息4月11日報道【英國《金融時報》網站4月 9日報道】題:“心臟出血漏洞”威脅網絡數據安全

  一種加密技術被發現存在缺陷,這有可能將網站流量、用戶數據和存儲內容暴露給網絡犯罪分子。在所有網站中,使用這種加密技術的占到三分之二,包括谷歌、亞馬遜、雅虎和臉譜等網站。

  一些安全工程師上周在 OpenSSL軟件中發現了這種“心臟出血漏洞”。在這一消息于7日晚間對外宣布之前,各技術公司緊急修復了各自的系統。

  目前尚沒有證據證明黑客已經利用了這一漏洞,該漏洞讓電腦系統在長達三年的時間里一直處于危險狀態。

  OpenSSL公布了修復這一漏洞的最新方法,使用該軟件的公司必須進行更新才能保證安全。

  谷歌表示已修復了谷歌核心服務中的這一漏洞。臉譜網說,在這一消息曝光之前,該公司已加強了?;ご朧?。亞馬遜的云計算服務部門表示已設法降低了損害,因此客戶不必采取任何行動。雅虎說,它已對主要網站采取了必要的糾正舉措,而且正在努力修復其他網站。

  但是,就算修復了軟件的漏洞,也不一定能看出黑客是否已利用這一弱點進入了系統。監控全球網站編碼的Netcraft公司說,50多萬家被信賴的網站面臨這一漏洞的威脅。

  云網絡安全服務公司總裁馬修·普林斯說,該公司在上周得到警示后,已對加密技術進行了調整。該公司為大約5%的Web請求提供安全屏障。

  普林斯說:“這非常糟糕,可能極端糟糕。這確實是有史以來最糟糕的互聯網漏洞之一?!?br />
  普林斯警告說,由于六成以上的網站使用的都是這款軟件,因此這個漏洞可能影響到“幾乎每一個人”。他說,該漏洞能讓黑客讀取計算機存儲的所有信息。

  研究人員發現,人們可以利用這一弱點來讀取雅虎郵箱中的郵件。不過目前尚不清楚其他安全信息的密鑰是否也遭泄露,這些密鑰所?;さ哪諶萆婕胺椒矯婷?,從知識產權到信用卡信息。

  普林斯說:“大家都在擔心的一種可怕情形是,這個漏洞可能使一些機構用來存儲數據的核心安全密鑰也遭到泄露?!比綣廡┟茉勘恍孤?,那么這些公司可能必須替換用來?;ば畔⒌乃邪踩藶?。

  發現這一漏洞的是安全檢測公司Codenomicon和谷歌安全部門的研究人員。

  他們說,由于通過這一漏洞可以不留痕跡地發動攻擊,他們不清楚該漏洞是否已遭到大肆利用。他們呼吁相關公司用假信息建立“蜜罐”系統,從而誘捕黑客。

  他們表示:“我們從襲擊者的角度對我們自己的一些服務進行了測試。在不使用任何保密信息或憑證的情況下,我們能竊取證書密鑰、用戶名和密碼、即時通信信息、電子郵件和重要的商業文件及通信?!?/div>