在OpenSSL網(wǎng)絡加密標準中,最新又被發(fā)現(xiàn)了更多的嚴重級漏洞,而這些漏洞則出現(xiàn)在惡名遠揚的“心臟流血(Heartbleed)”漏洞被發(fā)現(xiàn)的兩個月之后。據(jù)發(fā)現(xiàn)這些最新OpenSSL高危漏洞的研究人員Tatsuya Hayashi向媒體宣稱,這些最新發(fā)現(xiàn)的OpenSSL漏洞可能比“心臟流血”漏洞更危險,因為這些最新漏洞能夠被用來直接監(jiān)控設備用戶的通訊情況。
“心臟流血”漏洞今年4月被發(fā)現(xiàn)時,就一直被業(yè)界看作是目前為止最高危的互聯(lián)網(wǎng)漏洞之一。OpenSSL旨在通過電子鑰匙來保護用戶的數(shù)據(jù),但在最近幾個月中,已經(jīng)被曝光了大量的漏洞。
最新的這些漏洞自從1998年以來就一直存在,所幸的是,在這16年的時間內,這些漏洞一直未被從事開放源項目的付費和義務開發(fā)者發(fā)現(xiàn)。與此同時,據(jù)一些研究人員透露,本周詳細列出的OpenSSL一大高危漏洞也是由負責“心臟流血”漏洞的同一人士引入。
據(jù)稱,黑客可以利用Hayashi發(fā)現(xiàn)的這些漏洞,對同一網(wǎng)絡中的目標實施攻擊,例如對同一個公共Wi-Fi網(wǎng)絡中的目標,黑客能夠迫使被攻擊PC和網(wǎng)絡服務器之間連接點上的加密鑰匙失效。在掌控了這些加密鑰匙之后,攻擊者就能夠攔截數(shù)據(jù)。這些攻擊者甚至還能夠更改在用戶和網(wǎng)站之間正在發(fā)送的數(shù)據(jù),以此來誘騙被攻擊用戶發(fā)送出更多的敏感信息,例如用戶名和密碼等,這種攻擊手法被稱為“中間人”攻擊法。
Hayashi聲稱:“在公開Wi-Fi網(wǎng)絡形勢下,攻擊者能夠非常輕松地竊取加密通訊數(shù)據(jù),并改編虛假數(shù)據(jù)。被攻擊者無法檢測到攻擊者的任何追蹤行為。”
這一漏洞將會危及所未使用最新版本OpenSSL的PC和移動軟件,其中包括Android手機上的Chrome瀏覽器,以及搭載OpenSSL 1.0.1的服務器以及搭載OpenSSL 1.0.2測試版的服務器。事實上,諸多網(wǎng)站主都將運行OpenSSL 1.0.1,因為OpenSSL 1.0.1已經(jīng)修復了“心臟流血”漏洞。不過,幸運的是,OpenSSL經(jīng)營團隊已經(jīng)發(fā)布了相關的補丁。目前,使用漏洞版本OpenSSL的互聯(lián)網(wǎng)用戶已經(jīng)被要求安裝相關的補丁,目前OpenSSL管理團隊已經(jīng)公布了相關詳細方案,其中包括修復OpenSSL的其它一系列漏洞在內。
據(jù)稱,此次最新發(fā)現(xiàn)的另一款OpenSSL漏洞,能夠讓攻擊者發(fā)送惡意程序,進而影響運行OpenSSL的設備,從而再讓這些設備泄露數(shù)據(jù),這一漏洞也是被當初負責“心臟流血”漏洞事務的同一開發(fā)者引入,這名開發(fā)者就是羅賓·塞格爾曼(Robin Seggelmann)。
據(jù)安全公司Rapid7的戰(zhàn)略服務副總裁尼克·皮爾科科(Nick Percoco)稱,修復Hayashi發(fā)現(xiàn)的最新漏洞之工作量可能要比修復“心臟流血”漏洞的工作量大很多。
不過,谷歌安全工程師亞當·朗利(Adam Langley)在博客中稱,許多受歡迎的瀏覽器似乎非常安全,沒有遭到攻擊。他稱:“非OpenSSL客戶端產品(包括IE、Firefox、臺式Chrome、iOS版Chrome以及Safari等)都沒有受到影響。當然,所有的OpenSSL必須對此產品進行更新。”
河南億恩科技股份有限公司(www.vbseamall.com)始創(chuàng)于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設、網(wǎng)站托管等網(wǎng)絡基礎服務,另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網(wǎng)絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
