互聯(lián)網(wǎng)安全協(xié)議OpenSSL一個被稱作“心臟出血”的漏洞曝光后，在全球互聯(lián)網(wǎng)行業(yè)引發(fā)安全擔憂。這組加密工具被大量網(wǎng)絡服務器所采用，相關漏洞很容易被黑客利用來盜取敏感的個人和行業(yè)信息。

　　這一影響廣泛的漏洞是在本周早些時候遭意外曝光的。事實上這個漏洞早在2011年12月已被一些核心開發(fā)者發(fā)現(xiàn)，并在最新公布的版本中進行了修復，但由于許多網(wǎng)站還在使用舊版本的OpenSSL，這一“陳年”漏洞仍然會影響大量網(wǎng)站。

　　網(wǎng)絡安全專家估計，全球三分之二的網(wǎng)站都會受這一漏洞的影響。

　　OpenSSL是一組開源的網(wǎng)絡加密工具，由于開發(fā)其他這樣的工具非常耗時，因此全球大部分的網(wǎng)絡服務供應商都使用這組工具來加密敏感數(shù)據(jù)。而“心臟出血”漏洞的曝光影響重大，黑客可利用這個漏洞監(jiān)視用戶與某個網(wǎng)站間的所有信息流，并對其中加密數(shù)據(jù)進行解密操作，從而盜取信用卡密碼等敏感信息。

　　這次漏洞曝光讓眾多主流網(wǎng)站的安全性遭到質(zhì)疑。雅虎作為全美最大的入口網(wǎng)站就被推到封口浪尖上。

　　雅虎的發(fā)言人表示，該網(wǎng)站已對相關問題采取措施，填補了可能的漏洞。部分研究人員此前稱，他們能從這家網(wǎng)站獲取用戶賬戶名和密碼等信息。相關的安全測試則顯示谷歌、亞馬遜、“電子港灣”等網(wǎng)站還沒有出現(xiàn)嚴重的安全問題。

　　截至目前，還未出現(xiàn)黑客利用這一安全漏洞發(fā)動大范圍攻擊的報告。

　　包括谷歌、雅虎、臉譜等網(wǎng)絡服務提供商目前已完成或正在進行安全協(xié)議版本升級和修補工作。微軟也表示，正密切觀察有關“心臟出血”的情況，必要時將立即展開修補工作。

　　除了網(wǎng)站，“心臟出血”還對路由器、智能手機等網(wǎng)絡設備構(gòu)成威脅。知名網(wǎng)絡設備制造商思科說，其主要產(chǎn)品未受“心臟出血”影響，受影響的是個別產(chǎn)品，其中包括思科的幾款網(wǎng)絡電話機等。相關廠商已承諾將為這些設備提供補丁。

　　谷歌的官方博客說，各種版本的安卓移動操作系統(tǒng)都不受“心臟出血”影響，但4.1.1版是個“有限例外”。這一版本發(fā)布于2012年。谷歌最新統(tǒng)計顯示，34%的安卓設備運行不同形態(tài)的安卓4.1系統(tǒng)，而目前全球處于激活狀態(tài)的安卓設備超過9億臺。

　　芯片制造商英特爾和高通等也在對其產(chǎn)品進行檢查，目前還未發(fā)現(xiàn)安全隱患。

　　在更為敏感的銀行業(yè)，這一漏洞已引起監(jiān)管機構(gòu)的注意。美國聯(lián)邦儲備委員會等金融監(jiān)管機構(gòu)10日向美國的銀行發(fā)出警告，建議他們針對“心臟出血”漏洞更新自身系統(tǒng)，并敦促第三方服務提供商采取相關行動，要求用戶和管理人員修改密碼。

　　這一漏洞的曝光，還讓監(jiān)聽丑聞纏身的美國國家安全局再次置身輿論漩渦中。

　　彭博新聞社11日報道說，這一機構(gòu)至少兩年前就知道這一安全漏洞的存在，卻秘而不宣，以便利用它收集網(wǎng)絡情報。

　　國家安全局隨后發(fā)表聲明否認相關報道并表示，如果美國政府機構(gòu)發(fā)現(xiàn)商業(yè)軟件或開源軟件出現(xiàn)新漏洞，符合國家利益的做法是負責任地予以披露，而不是留作調(diào)查或收集情報之用。

　　事實上，對許多業(yè)內(nèi)人士來說，OpenSSL存在漏洞并不是令人意外的事情。據(jù)華爾街日報報道，這個創(chuàng)立于上世紀90年代后期的項目，至今只有一個十來人的團隊，其中只有一名是全職開發(fā)者，每年的預算不到100萬美元。目前，這個項目的資金來源仍主要是一些機構(gòu)和個人的贊助，在資金有限的情況下，人手不足的問題短期內(nèi)似乎也難以解決。

　　盡管存在安全隱患，但網(wǎng)絡安全專家說，銀行、電商等重要網(wǎng)站會在近期內(nèi)完成服務器安裝補丁和修改密鑰的工作，用戶可以在此之后安全地登錄這些網(wǎng)站并修改密碼，以保護自身信息安全。

　

《互聯(lián)網(wǎng)“心臟出血”漏洞曝光 增加全球黑客威脅》由河南新聞網(wǎng)-豫都網(wǎng)提供，轉(zhuǎn)載請注明出處：http://akak23.com/shishang/jjly/9693.html，謝謝合作！