在OpenSSL網(wǎng)絡(luò)加密標(biāo)準(zhǔn)中，最新又被發(fā)現(xiàn)了更多的嚴(yán)重級漏洞，而這些漏洞則出現(xiàn)在惡名遠(yuǎn)揚的“心臟流血（Heartbleed）”漏洞被發(fā)現(xiàn)的兩個月之后。據(jù)發(fā)現(xiàn)這些最新OpenSSL高危漏洞的研究人員Tatsuya Hayashi向媒體宣稱，這些最新發(fā)現(xiàn)的OpenSSL漏洞可能比“心臟流血”漏洞更危險，因為這些最新漏洞能夠被用來直接監(jiān)控設(shè)備用戶的通訊情況。

“心臟流血”漏洞今年4月被發(fā)現(xiàn)時，就一直被業(yè)界看作是目前為止最高危的互聯(lián)網(wǎng)漏洞之一。OpenSSL旨在通過電子鑰匙來保護(hù)用戶的數(shù)據(jù)，但在最近幾個月中，已經(jīng)被曝光了大量的漏洞。

最新的這些漏洞自從1998年以來就一直存在，所幸的是，在這16年的時間內(nèi)，這些漏洞一直未被從事開放源項目的付費和義務(wù)開發(fā)者發(fā)現(xiàn)。與此同時，據(jù)一些研究人員透露，本周詳細(xì)列出的OpenSSL一大高危漏洞也是由負(fù)責(zé)“心臟流血”漏洞的同一人士引入。

據(jù)稱，黑客可以利用Hayashi發(fā)現(xiàn)的這些漏洞，對同一網(wǎng)絡(luò)中的目標(biāo)實施攻擊，例如對同一個公共Wi-Fi網(wǎng)絡(luò)中的目標(biāo)，黑客能夠迫使被攻擊PC和網(wǎng)絡(luò)服務(wù)器之間連接點上的加密鑰匙失效。在掌控了這些加密鑰匙之后，攻擊者就能夠攔截數(shù)據(jù)。這些攻擊者甚至還能夠更改在用戶和網(wǎng)站之間正在發(fā)送的數(shù)據(jù)，以此來誘騙被攻擊用戶發(fā)送出更多的敏感信息，例如用戶名和密碼等，這種攻擊手法被稱為“中間人”攻擊法。

Hayashi聲稱：“在公開Wi-Fi網(wǎng)絡(luò)形勢下，攻擊者能夠非常輕松地竊取加密通訊數(shù)據(jù)，并改編虛假數(shù)據(jù)。被攻擊者無法檢測到攻擊者的任何追蹤行為?！?

這一漏洞將會危及所未使用最新版本OpenSSL的PC和移動軟件，其中包括Android手機上的Chrome瀏覽器，以及搭載OpenSSL 1.0.1的服務(wù)器以及搭載OpenSSL 1.0.2測試版的服務(wù)器。事實上，諸多網(wǎng)站主都將運行OpenSSL 1.0.1，因為OpenSSL 1.0.1已經(jīng)修復(fù)了“心臟流血”漏洞。不過，幸運的是，OpenSSL經(jīng)營團隊已經(jīng)發(fā)布了相關(guān)的補丁。目前，使用漏洞版本OpenSSL的互聯(lián)網(wǎng)用戶已經(jīng)被要求安裝相關(guān)的補丁，目前OpenSSL管理團隊已經(jīng)公布了相關(guān)詳細(xì)方案，其中包括修復(fù)OpenSSL的其它一系列漏洞在內(nèi)。

據(jù)稱，此次最新發(fā)現(xiàn)的另一款OpenSSL漏洞，能夠讓攻擊者發(fā)送惡意程序，進(jìn)而影響運行OpenSSL的設(shè)備，從而再讓這些設(shè)備泄露數(shù)據(jù)，這一漏洞也是被當(dāng)初負(fù)責(zé)“心臟流血”漏洞事務(wù)的同一開發(fā)者引入，這名開發(fā)者就是羅賓·塞格爾曼（Robin Seggelmann）。

據(jù)安全公司Rapid7的戰(zhàn)略服務(wù)副總裁尼克·皮爾科科（Nick Percoco）稱，修復(fù)Hayashi發(fā)現(xiàn)的最新漏洞之工作量可能要比修復(fù)“心臟流血”漏洞的工作量大很多。

不過，谷歌安全工程師亞當(dāng)·朗利（Adam Langley）在博客中稱，許多受歡迎的瀏覽器似乎非常安全，沒有遭到攻擊。他稱：“非OpenSSL客戶端產(chǎn)品（包括IE、Firefox、臺式Chrome、iOS版Chrome以及Safari等）都沒有受到影響。當(dāng)然，所有的OpenSSL必須對此產(chǎn)品進(jìn)行更新?！?

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話：0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900