|
OpenSSL基金会警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动「中间人」攻击。
资讯安全专家目前仍试图解决OpenSSL加密协议中的「心脏流血」漏洞。根据AVG Virus Labs的资料,目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。
新浪科技报道,OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。这一漏洞的发现者是软件公司Lepidum的日本研究员 Masashi Kikuchi。Lepidum的网站上显示:「当服务器和用户端都存在漏洞时,攻击者可以窃听及伪造你的通讯。」
与能够导致服务器直接受到攻击的「心脏流血」漏洞不同,这一新漏洞要求黑客位于两台通讯的电脑之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。这一漏洞自1998年OpenSSL首次发布以来就一直存在。而「心脏流血」漏洞是在2011年新年OpenSSL进行升级时引入的。
在「心脏流血」漏洞被发现后,包括亚马逊、思科、戴尔、Facebook、富士通、谷歌、IBM、英特尔、微软等公司都承诺在未来3年内每年投入10万美元,用于Core Infrastructure Initiative项目。
|