移动新媒体
中国搜索
首页  >   中文国际  >  欧美

安全协议存重大漏洞 国内众多网站恐中招

中国日报网4月10日电(信莲)综合外国媒体4月9日报道,众多网站使用的OpenSSL安全协议日前被曝存在漏洞,可能导致用户账号和密码以及通讯信息等大量隐私数据被盗取,谷歌、雅虎、脸谱网等诸多大型网站受到波及。

***“变成废锁”

OpenSSL是互联网上应用最广泛的一种安全协议,旨在为网络通信提供安全及数据完整性,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。目前,全球约有2/3的网站使用该协议。

这个名为“心脏出血”(heartbleed)的漏洞由网络安全公司Codenomicon和谷歌安全工程师共同发现。根据其描述,攻击者可利用该漏洞“窃取聊天工具的信息、直接从网络服务和用户处盗走隐私数据,甚至可以假扮用户”。

“通俗地说,OpenSSL是互联网上销量最大的门锁,而这个漏洞可以让特定版本的OpenSSL成为无需钥匙即可开启的废锁。”据Codenomicon公司介绍,虽然还无法确认“心脏出血”漏洞是否已遭大范围滥用,但他们已确认能够利用该漏洞不留痕迹地对某个网站发起攻击。

“我们站在攻击者的角度,对本公司一些网络服务进行了安全性测试。我们从外部攻击网站,没有留些一丝痕迹。”Codenomicon公司称,“不需要使用任何特许信息或者证书,我们成功盗取了密钥,获得用户名和密码、即时通讯工具信息、电子邮件以及重要的商业文档等数据。”

***“史上最糟糕”

至于这个漏洞的影响范围究竟有多大,目前还难以确定,但访问人数众多的支付宝、淘宝、银行网银系统等国内多种网站,基本上都存在潜在风险。在国外,受波及者也是数不胜数,大名鼎鼎的谷歌、雅虎、亚马逊和脸谱网均包括在内。

自漏洞曝出后,受影响公司在争分夺秒地升级系统、修补漏洞。谷歌公司称,已经对该公司的主要服务进行了修正。脸谱网宣称早在漏洞被曝光前就采取了额外保护措施。雅虎公司表示,雅虎主页、搜索、财经、体育等主要产品已“成功进行恰当的更正”,并且还在努力修复旗下其他站点。而OpenSSL也已发布修复漏洞的新版本,要求用户必须更新软件以确保安全性。

不过,网络安全专家认为,即使漏洞得到修复,也无法确定此前是否已有黑客利用漏洞进入网站盗取数据。马修•普林斯是一家网络安全公司的首席执行官,他认为“心脏出血”漏洞可能会影响“几乎所有人”。“有超过60%的网站使用OpenSSL安全协议,黑客可利用这个漏洞读取电脑里的一切内容,”普林斯说,“这简直是史上最糟糕的互联网漏洞之一。”

(编辑:王辉)

 

分享到6.79K
编辑: 马晓棠 标签:
 
 
广州:学生将废弃试卷扔出教室 迎接考试 武汉警用直升机开起空中巡逻
“渴望之狮”多国联合军演举行 美军秀军事力量 欧洲国家不愿与俄罗斯闹僵
袁姗姗戴娇倩同登《男人装》 变性感绝代双骄 德普女友希尔德妩媚出镜 妆容冷艳秀长腿
男人魅惑彩妆摄影 全智贤范冰冰奥莉小七 儿童节明星与嫩娃比萌

精彩热图

 
 

新闻热搜榜

      24小时新闻排行