OpenSSL新漏洞曝光：可被用于“中间人”攻击

新闻2

　新浪科技讯 北京时间6月6日早间消息，本周四，OpenSSL基金会发布警告称，一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。


　　信息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVG Virus Labs的数据，目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息，黑客可能利用新漏洞去拦截加密流量，对其进行解密，随后阅读流量中的内容。


　　OpenSSL的用户被建议安装新的补丁，并升级至OpenSSL软件的最新版本。这一漏洞的发现者是软件公司Lepidum的日本研究员Masashi Kikuchi。Lepidum的网站上显示：“当服务器和客户端都存在漏洞时，攻击者可以窃听及伪造你的通信。”


　　与能够导致服务器直接受到攻击的“心脏流血”漏洞不同，这一新漏洞要求黑客位于两台通信的计算机之间。例如，使用机场公开WiFi的用户可能成为被攻击目标。

　　这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。


　　这一漏洞在长达十几年的时间内一直没有被发现，这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的，这意味着任何人都可以对其进行评估及更新。由于这一原因，OpenSSL被认为比某家公司开发的私有代码更安全、更可信。


　　但实际上，OpenSSL在欧洲只有1名全职开发者，以及3名“核心”的志愿程序员，其运营依靠每年2000美元的捐赠。不过，OpenSSL仍被用于加密全球大部分网站的服务器，并被亚马逊(329.67, 6.10, 1.89%)和思科(24.83, 0.13, 0.53%)等大公司广泛使用。


　　在“心脏流血”漏洞被发现之后，包括亚马逊、思科、戴尔、Facebook(62.5, -0.69, -1.09%)、富士通、谷歌(556.33, 2.43, 0.44%)、IBM(186.37, 0.39, 0.21%)、英特尔(28.17, 0.51, 1.84%)、微软(41.48, 0.27, 0.66%)、NetApp、Rackspace、高通(80.38, 0.72, 0.90%)和VMware(96.97, 0.27, 0.28%)在内的公司都承诺在未来3年内每年投入10万美元，用于Core Infrastructure Initiative项目。这一新的开源项目由Linux基金会牵头，用于支撑OpenSSL等关键的开源基础设施。(维金)
源自新浪科技