当前位置:网站首页 >> 汽车

心脏出血漏洞突袭2亿中国网民心脏出血

时间:2019-06-13 14:29:28 来源:互联网 阅读:0次

“心脏出血”漏洞突袭2亿中国民 - 心脏出血,Heartbleed,OpenSSL

络世界究竟有多大的风险?仿若潘多拉的盒子,答案在一夜间迅速揭开。

本周,安全协议OpenSSL爆出本年度严重的安全漏洞Heartbleed,被形象地形容为致命的“心脏出血”。由于使用范围广泛,受影响的范围波及银、支付、电商、邮件等多种涉及个人账号以及密码的服务,而且由于技术要求不高,使得被信息被盗取的几率进一步加大。OpenSSL“心脏出血”漏洞为本年度互联上严重的安全漏洞,影响至少两亿中国民。

虽然多家站都表示已经完成了修补处理,但有“白帽”(搜索引擎优化业界,使用正当手段优化站的被称为白帽)向透露,由于漏洞早在两年前已经被提出,所以这个漏洞影响了多少站仍在评估当中。安全专家在接受采访时表示,建议用户在1- 2天后,即站升级完成后,再登录站修改密码,而不是此时“送羊入虎口”。

危机在世界范围内引爆

SSL是1994年由景(Netscape)推出,自1990年代以来一直面向各款主流浏览器,大多数的SSL加密站都基于名为OpenSSL的开源软件包。

被曝光的OpenSSL为络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在一些涉重要个人信息的站如银、支付、电商站、门户站、电子邮件等服务上被广泛使用。

本周,美国方面的研究人员公布该软件存在一个会导致用户通讯内容泄露的重要漏洞,更为致命的是OpenSSL存在这种漏洞已有约两年时间。利用这一漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头址的用户登录账号密码,包括大批银、知名购物站、电子邮件等。

具体来说,即SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然,并获取反馈。但研究人员发现,可以通过其他手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。

安全专家告诉,一般来说如果利用漏洞对技术的要求越高,那么用户和企业受到的影响就会越小。但此次涉及的漏洞有两个特点,一是其涉及的都是重要的用户信息,容易导致财产的损失;二是他对技术的要求比较低,可利用性非常好,因此危机一瞬间就在世界范围内引爆。

上述“白帽”告诉南都,自漏洞首度被曝光后,这几天国内各大站已经连夜低调地开始大规模修复升级,“白帽”也在加紧测试漏洞影响,除此之外黑客也在加速利用漏洞截取信息。

有多少站受到影响?

如何区分一个站是否有用该服务,有两个较为简单的方法,一是看址开头是否显示为https,二是看URL左侧是否有“锁头”图标。

自这个漏洞被爆出后,全球的黑客与安全专家们已经展开了激烈竞赛。截至昨日下午6点,Zoom Eye系统扫描的数据显示中国受影响的大站包括12306站、公众号、邮箱、支付宝、淘宝、知乎、陌陌、雅虎、比特币中国、360应用,但上述站均已完成修复。

除此之外,YY某服务也受到此次漏洞影响,但并未完成修复。

由于OpenSSL漏洞排山倒海向互联安全界袭来,多家站也发表声明表示并未受到影响。小微金融服务集团(筹)首席风险官胡晓明昨日在出席公开活动时表示,经过一夜加班,阿里体系已经完成修复,不再存在风险。京东方面则表示,前天较早时间就接收到了openssl Heartbleed漏洞的相关信息,进行了全面排查,并于昨天就完成了修补处理。百度方面则表示,百度钱包在这次风暴中未受影响。

专家建议天后再登录系统修改密码

专家建议,由于OpenSSL漏洞并不涉及客户端,而是在用户向服务端提供信息的过程中,黑客可以利用漏洞从服务器内存中窃取64KB数据,因此不易察觉。建议,用户首先在使用服务时应该留意是否涉及https开头,如果是以此开头则使用了OpenSSL协议,建议用户不要在此时登录站修改密码,因为很可能是“送羊入虎口”。“建议等各大站修复升级完成后,待天后再登录系统修改密码,同时近两天也可以留意账户是否出现异常。”

西医
湖北癫痫病医院
哪里有微信小程序开发

相关文章

一周热门

热点排行

热门精选

友情链接:
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 备案号:京ICP0000001号

网站地图