最新發(fā)現(xiàn)的OpenSSL漏洞可能比“心臟流血”漏洞更危險(xiǎn),因?yàn)檫@些最新漏洞能夠被用來直接監(jiān)控設(shè)備用戶的通訊情況。
在OpenSSL網(wǎng)絡(luò)加密標(biāo)準(zhǔn)中,最新又被發(fā)現(xiàn)了更多的嚴(yán)重級(jí)漏洞,而這些漏洞則出現(xiàn)在惡名遠(yuǎn)揚(yáng)的“心臟流血(Heartbleed)”漏洞被發(fā)現(xiàn)的兩個(gè)月之后。據(jù)發(fā)現(xiàn)這些最新OpenSSL高危漏洞的研究人員Tatsuya Hayashi向媒體宣稱,這些最新發(fā)現(xiàn)的OpenSSL漏洞可能比“心臟流血”漏洞更危險(xiǎn),因?yàn)檫@些最新漏洞能夠被用來直接監(jiān)控設(shè)備用戶的通訊情況。
“心臟流血”漏洞今年4月被發(fā)現(xiàn)時(shí),就一直被業(yè)界看作是目前為止最高危的互聯(lián)網(wǎng)漏洞之一。OpenSSL旨在通過電子鑰匙來保護(hù)用戶的數(shù)據(jù),但在最近幾個(gè)月中,已經(jīng)被曝光了大量的漏洞。
最新的這些漏洞自從1998年以來就一直存在,所幸的是,在這16年的時(shí)間內(nèi),這些漏洞一直未被從事開放源項(xiàng)目的付費(fèi)和義務(wù)開發(fā)者發(fā)現(xiàn)。與此同時(shí),據(jù)一些研究人員透露,本周詳細(xì)列出的OpenSSL一大高危漏洞也是由負(fù)責(zé)“心臟流血”漏洞的同一人士引入。
據(jù)稱,黑客可以利用Hayashi發(fā)現(xiàn)的這些漏洞,對(duì)同一網(wǎng)絡(luò)中的目標(biāo)實(shí)施攻擊,例如對(duì)同一個(gè)公共Wi-Fi網(wǎng)絡(luò)中的目標(biāo),黑客能夠迫使被攻擊PC和網(wǎng)絡(luò)服務(wù)器之間連接點(diǎn)上的加密鑰匙失效。在掌控了這些加密鑰匙之后,攻擊者就能夠攔截?cái)?shù)據(jù)。這些攻擊者甚至還能夠更改在用戶和網(wǎng)站之間正在發(fā)送的數(shù)據(jù),以此來誘騙被攻擊用戶發(fā)送出更多的敏感信息,例如用戶名和密碼等,這種攻擊手法被稱為“中間人”攻擊法。
Hayashi聲稱:“在公開Wi-Fi網(wǎng)絡(luò)形勢(shì)下,攻擊者能夠非常輕松地竊取加密通訊數(shù)據(jù),并改編虛假數(shù)據(jù)。被攻擊者無法檢測(cè)到攻擊者的任何追蹤行為?!?
這一漏洞將會(huì)危及所未使用最新版本OpenSSL的PC和移動(dòng)軟件,其中包括Android手機(jī)上的Chrome瀏覽器,以及搭載OpenSSL 1.0.1的服務(wù)器以及搭載OpenSSL 1.0.2測(cè)試版的服務(wù)器。事實(shí)上,諸多網(wǎng)站主都將運(yùn)行OpenSSL 1.0.1,因?yàn)镺penSSL 1.0.1已經(jīng)修復(fù)了“心臟流血”漏洞。不過,幸運(yùn)的是,OpenSSL經(jīng)營(yíng)團(tuán)隊(duì)已經(jīng)發(fā)布了相關(guān)的補(bǔ)丁。目前,使用漏洞版本OpenSSL的互聯(lián)網(wǎng)用戶已經(jīng)被要求安裝相關(guān)的補(bǔ)丁,目前OpenSSL管理團(tuán)隊(duì)已經(jīng)公布了相關(guān)詳細(xì)方案,其中包括修復(fù)OpenSSL的其它一系列漏洞在內(nèi)。
據(jù)稱,此次最新發(fā)現(xiàn)的另一款OpenSSL漏洞,能夠讓攻擊者發(fā)送惡意程序,進(jìn)而影響運(yùn)行OpenSSL的設(shè)備,從而再讓這些設(shè)備泄露數(shù)據(jù),這一漏洞也是被當(dāng)初負(fù)責(zé)“心臟流血”漏洞事務(wù)的同一開發(fā)者引入,這名開發(fā)者就是羅賓·塞格爾曼(Robin Seggelmann)。
據(jù)安全公司Rapid7的戰(zhàn)略服務(wù)副總裁尼克·皮爾科科(Nick Percoco)稱,修復(fù)Hayashi發(fā)現(xiàn)的最新漏洞之工作量可能要比修復(fù)“心臟流血”漏洞的工作量大很多。
不過,谷歌安全工程師亞當(dāng)·朗利(Adam Langley)在博客中稱,許多受歡迎的瀏覽器似乎非常安全,沒有遭到攻擊。他稱:“非OpenSSL客戶端產(chǎn)品(包括IE、Firefox、臺(tái)式Chrome、iOS版Chrome以及Safari等)都沒有受到影響。當(dāng)然,所有的OpenSSL必須對(duì)此產(chǎn)品進(jìn)行更新。”
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900