互聯(lián)網(wǎng)上應用最廣門鎖爆出嚴重安全漏洞

“4月8日是黑客和白帽子們的不眠之夜?！庇腥诉@樣形容。早上還在討論WINXP停止服務，到晚上

九塊郵九塊九包郵bhu6g已到處是OpenSSL的漏洞消息。OpenSSL是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)

九塊郵九塊九包郵bhu6g議，在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等廣泛使用。就是這個被許多企業(yè)和服務商用

九塊郵九塊九包郵bhu6g來加密數(shù)據(jù)的安全協(xié)議，爆出了本年度最嚴重的安全漏洞——黑客可以利用這個漏洞從服務器內(nèi)存中竊取6

九塊郵九塊九包郵bhu6g4KB數(shù)據(jù)，64KB數(shù)據(jù)量并不大，但黑客可以重復利用該漏洞，多次竊取數(shù)據(jù)，并可能因此獲得用戶的

九塊郵九塊九包郵bhu6g加密密鑰，解密敏感數(shù)據(jù)。打個比方，OpenSSL是目前互聯(lián)網(wǎng)上應用最廣“門鎖”，而這個漏洞讓

九塊郵九塊九包郵bhu6g特定版本的OpenSSL成了不設防的保險箱。驚現(xiàn)安全漏洞“(這個消息)我們最初是在海外論壇

九塊郵九塊九包郵bhu6g上看到的，很快傳回了國內(nèi)。”金山首席安全專家李鐵軍說，4月7日(美國當?shù)貢r間)有黑客公布了舊版

九塊郵九塊九包郵bhu6g本OpenSSL的安全漏洞，“因為漏洞機制描述得非常詳細，很快就在圈內(nèi)傳開了?！甭┒吹陌l(fā)布在

九塊郵九塊九包郵bhu6g一個相當危險的時間點——黑客們已經(jīng)紛紛出動，而一些公司的負責人卻正在睡覺。發(fā)現(xiàn)者們給這個漏洞起

九塊郵九塊九包郵bhu6g了個相當形象的名字“heartbleed”，直譯為“心臟出血”。這一夜，互聯(lián)網(wǎng)的安全核心，開始

九塊郵九塊九包郵bhu6g滴血。黑客、白帽子們、運維主管、安全廠商們，聞著“血”而動：他們有的開始狂歡，逐一進入戒備森

九塊郵九塊九包郵bhu6g嚴的網(wǎng)站，收集泄露數(shù)據(jù)；有的開始測試有多少網(wǎng)站受到影響以及推出檢測腳本；有的在統(tǒng)計漏洞信息，還

九塊郵九塊九包郵bhu6g要準備說服客戶，解釋問題的嚴重性；有的連夜開始緊急預警修復升級系統(tǒng)版本；WooYun漏洞平臺上

九塊郵九塊九包郵bhu6g很多白帽子開始對大范圍網(wǎng)站進行了測試刷分，場面頗為壯觀……而普通網(wǎng)民們卻毫不知情?！昂芸?，甚

九塊郵九塊九包郵bhu6g至有黑客發(fā)布了舊版本OpenSSL的‘傻瓜攻擊’?！崩铊F軍解釋說，這意味著非專業(yè)技術人員只要依

九塊郵九塊九包郵bhu6g樣畫葫蘆就能利用漏洞從服務器內(nèi)竊取數(shù)據(jù)?！笆盏竭@個漏洞后我們最先測試了支付寶，確認存在此漏洞

九塊郵九塊九包郵bhu6g，發(fā)起檢測。之后我們又發(fā)現(xiàn)雅虎門戶主頁、微信公眾號、微信網(wǎng)頁版、YY語言、淘寶、網(wǎng)銀、陌陌、社

九塊郵九塊九包郵bhu6g交、門戶網(wǎng)站存在此漏洞?！本W(wǎng)友Evi1m0在知乎上透露，“在一個社交網(wǎng)站中我獲取到了用戶登錄的

九塊郵九塊九包郵bhu6g帳號以及密碼甚至是安全問題與答案。這里的密碼使用的明文傳輸，以至于通過這樣的漏洞攻擊，我成功地

九塊郵九塊九包郵bhu6g登錄了上百個賬戶，當然我什么都沒做，出于測試而已?！眹鴥?nèi)知名網(wǎng)站幾無幸免目前支付寶、淘寶已

九塊郵九塊九包郵bhu6g修復漏洞這個漏洞影響究竟有多大？安全專家們不約而同地推薦參考zoomeye(鐘馗之眼)的掃描

九塊郵九塊九包郵bhu6g數(shù)據(jù)，這是一個網(wǎng)絡空間搜索引擎，業(yè)界公認的權威。根據(jù)zoomeye系統(tǒng)掃描，中國全境至少有33

九塊郵九塊九包郵bhu6g303臺服務器受本次OpenSSL漏洞影響。網(wǎng)易、微信、QQ郵箱、陌陌、雅虎、比特幣中國、支付

九塊郵九塊九包郵bhu6g寶、知乎、淘寶網(wǎng)、360應用、京東、YY語言……從消費到通訊、社交，國內(nèi)知名網(wǎng)站幾乎無一幸免。

九塊郵九塊九包郵bhu6g而很多用戶毫不知情，仍然在訪問著老虎嘴中的站點。幸好，官方很快發(fā)布了漏洞的修復方案：因為這是

九塊郵九塊九包郵bhu6g一個舊版本OpenSSL的安全漏洞，開發(fā)者把服務器程序升級到OpenSSL1.0.1g可以解決

九塊郵九塊九包郵bhu6g。“目前騰訊幾大產(chǎn)品線已經(jīng)都升級修復了，而且反復進行了掃描，確保漏洞已經(jīng)被修復。”騰訊相關負

九塊郵九塊九包郵bhu6g責人表示，在騰訊相關的產(chǎn)品業(yè)務如郵箱、財付通、QQ、微信等都已經(jīng)可以放心使用。“阿里旗下網(wǎng)站

九塊郵九塊九包郵bhu6g已經(jīng)都沒有問題了。”阿里集團相關負責人也表示，技術部門一得到漏洞消息就連夜進行了版本升級，修復

九塊郵九塊九包郵bhu6g了漏洞。目前支付寶、淘寶、天貓都可以正常使用。截止記者發(fā)稿時，包括支付寶、淘寶、微信、QQ平

九塊郵九塊九包郵bhu6g臺、網(wǎng)易、12306鐵路客戶服務中心等在內(nèi)大型網(wǎng)站已修復漏洞。應對未知風險安全專家給出兩條

九塊郵九塊九包郵bhu6g建議互聯(lián)網(wǎng)門戶洞開的“驚魂一夜”過去了，從開始到基本結(jié)束，絕大多數(shù)網(wǎng)友都一無所知。我們安全

九塊郵九塊九包郵bhu6g了嗎？從zoomeye系統(tǒng)的掃描結(jié)果看，比33303臺服務器受漏洞影響更讓人擔心的是：這些服

九塊郵九塊九包郵bhu6g務器有的在銀行網(wǎng)銀系統(tǒng)中；有的部署在第三方支付里；有的在大型電商網(wǎng)站；有的在網(wǎng)絡郵箱、即時通訊

九塊郵九塊九包郵bhu6g系統(tǒng)中……“特別是現(xiàn)在互聯(lián)網(wǎng)金融和第三方支付的發(fā)展非常迅速，這意味著以前用銀行卡、POS機進

九塊郵九塊九包郵bhu6g行的交易都將逐漸轉(zhuǎn)移到互聯(lián)網(wǎng)上，這對網(wǎng)絡安全提出了越來越高的要求?！崩铊F軍坦承比用戶端更不可控

九塊郵九塊九包郵bhu6g的是服務端，如果黑客入侵了服務器，受損的遠不止公司一個個體，還包括存放于公司數(shù)據(jù)庫的大量用戶敏

九塊郵九塊九包郵bhu6g感資料?！斑@個漏洞據(jù)說早在2012年就被挖掘出來，直到昨天CVE納入編號CVE-2014-0

九塊郵九塊九包郵bhu6g160，8號才正式爆發(fā)?！盓vi1m0也在知乎上透露，“使用HTTPS的網(wǎng)站大多是因為數(shù)據(jù)需加

九塊郵九塊九包郵bhu6g密防止嗅探等攻擊的發(fā)生，漏洞爆發(fā)后徹底將這層大門打破，于是很多網(wǎng)站處于被監(jiān)聽的狀態(tài)中。”兩年

九塊郵九塊九包郵bhu6g多時間，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會在服務器

九塊郵九塊九包郵bhu6g日志中留下痕跡，所以目前還沒有辦法確認哪些服務器被入侵，也就沒法定位損失、確認泄漏信息，從而通

九塊郵九塊九包郵bhu6g知用戶進行補救。“最近兩天不要登錄未修復的服務器，以免自投羅網(wǎng)，即使想要修改用戶名或密碼也等

九塊郵九塊九包郵bhu6g幾天再改?！睅孜话踩珜＜医o出的建議都很一致。因為最近幾天網(wǎng)友登錄一些關鍵服務網(wǎng)站，若網(wǎng)站未完成

九塊郵九塊九包郵bhu6g漏洞修復，登錄信息就可能被黑客遠程捕獲。盡管zoomeye的掃描結(jié)果及涉及名單已經(jīng)被提交給國

九塊郵九塊九包郵bhu6g家互聯(lián)網(wǎng)應急中心，按照流程應由后者進行全國預警，但截止記者發(fā)稿時，在國家互聯(lián)網(wǎng)應急中心官網(wǎng)上尚

九塊郵九塊九包郵bhu6g無相關信息發(fā)布。事實上，除了移動、聯(lián)通等這些大型企業(yè)外，國家互聯(lián)網(wǎng)應急中心也沒有強制力確保其

九塊郵九塊九包郵bhu6g他公司看到預警內(nèi)容，舊版本OpenSSL的安全漏洞修復時間是個不確定值。對于普通用戶怎么辦呢

九塊郵九塊九包郵bhu6g？除了在確認有關網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購物等功能，以避免用戶密碼被漏洞后的

九塊郵九塊九包郵bhu6g黑客捕獲外。安全專家們給出了兩條建議：一是對重要服務，盡可能開通手機驗證或動態(tài)密碼，比如支付

九塊郵九塊九包郵bhu6g寶、郵箱等。登錄重要服務，不僅僅需要驗證用戶名密碼，最好綁定手機，加手機驗證碼登錄。這樣就算黑

九塊郵九塊九包郵bhu6g客拿到賬戶密碼，登錄還有另一