【PConline 資訊】今年4月爆出的Heartbleed漏洞至今依然令整個(gè)互聯(lián)網(wǎng)界心有余悸,外媒消息,近日,為全球各大網(wǎng)站廣泛使用的OpenSSL安全協(xié)議又曝出另一項(xiàng)重大漏洞,據(jù)稱該漏洞已經(jīng)潛伏16年之久,任何黑客都可以通過該漏洞破解加密層竊取數(shù)據(jù)。
OpenSSL基金會(huì)近期發(fā)布一項(xiàng)建議性警告,希望用戶再次對(duì)所使用的SSL安全協(xié)議進(jìn)行升級(jí),以修復(fù)一項(xiàng)此前從未發(fā)現(xiàn)的漏洞。據(jù)悉,這一漏洞由日本安全研究員菊池志(Masashi Kikuchi)發(fā)現(xiàn),通過迫使電腦和服務(wù)器使用強(qiáng)度更低的密鑰,使得位于兩者之間的中間人得以進(jìn)行解密并讀取數(shù)據(jù)。
據(jù)軟件公司Lepidum(菊池志的雇主)發(fā)布的一份文件顯示,該缺陷允許惡意中間節(jié)點(diǎn)截取被加密的數(shù)據(jù),并通過迫使SSL協(xié)議客戶端使用直接暴露的低強(qiáng)度密鑰,從而對(duì)其進(jìn)行解密。通俗來講,這就好比兩個(gè)人在建立安全連接,這時(shí)有攻擊者插入一條命令,讓兩人誤以為他們使用的仍然是私人密碼,而實(shí)際上這一密碼已經(jīng)為攻擊者所知。
另外,該漏洞與Heartbleed不同,后者允許任何人直接攻擊任何使用OpenSSL協(xié)議的服務(wù)器,而使用該漏洞的黑客則必須位于兩臺(tái)計(jì)算機(jī)之間。盡管如此,該漏洞還是存在巨大的隱患。比如用戶在使用公共網(wǎng)絡(luò)時(shí),就很容易受到攻擊。而且,本次漏洞還有另一大局限性,即只有連接的兩端都使用OpenSSL協(xié)議時(shí),才可利用本漏洞進(jìn)行數(shù)據(jù)破解。專家稱,大部分瀏覽器都使用其他SSL協(xié)議,所以并不會(huì)受到影響。不過,Android設(shè)備以及許多VPN使用的正是OpenSSL協(xié)議,尤其是后者,由于常常涉及敏感數(shù)據(jù),因此很容易成為被攻擊的對(duì)象。
菊池志在博文中指出,早在1998年OpenSSL開發(fā)之初,該漏洞就一直存在。盡管前不久的Heartbleed事件讓業(yè)界開始廣泛關(guān)注起OpenSSL協(xié)議的安全性,但是OpenSSL代碼受到專業(yè)安全研究人員的檢測(cè)和維護(hù)程度還是遠(yuǎn)遠(yuǎn)不夠。如果能夠得到TLS/SSL領(lǐng)域?qū)<业木S護(hù),這些漏洞可能早就被發(fā)現(xiàn)并修補(bǔ)。
有專家指出,在棱鏡門事件一周年紀(jì)念日之際發(fā)現(xiàn)隱藏十幾年的安全漏洞,對(duì)于安全領(lǐng)域是一個(gè)頗具諷刺意味的嚴(yán)酷教訓(xùn)。像OpenSSL這樣歷史悠久、使用范圍廣泛的安全協(xié)議可能仍然存在最基本的缺陷和漏洞,而僅有少數(shù)工程師利用不足的資源對(duì)這些協(xié)議進(jìn)行維護(hù),這對(duì)于整個(gè)互聯(lián)網(wǎng)界都是一種羞辱。
2024-11-05
2024-10-23
2024-10-21
2024-09-27
2024-09-11
2024-08-31
2024-08-29
2024-08-15
2024-07-29
2024-07-17
付諸行動(dòng),不忘初心、牢記使命、發(fā)揮優(yōu)勢(shì)、開拓創(chuàng)新
內(nèi)有商業(yè)銀行,外有支付公司獲牌在即,第三方支付公司將面臨更多挑戰(zhàn)。 《第一財(cái)經(jīng)日?qǐng)?bào)》日前從接近監(jiān)管層人士處獲悉,央行將在“不久后公布獲得支付業(yè)務(wù)許可證的外資公司,最快會(huì)在7月內(nèi)”,但有望拔得頭籌的應(yīng)該不是近期備受關(guān)注的eBay。 央行支付結(jié)算司副司長周金黃近日則在2013陸家嘴論壇上表示,預(yù)計(jì)到今年年內(nèi),獲得支付牌照的第三方支付公司將達(dá)到260家左右。 年內(nèi)將達(dá)260家
2013年9月20日,騰訊以4.48億美元入股搜狗之后的第四天,搜狗公司CEO王小川突然發(fā)微博,稱接到大量用戶投訴,360公司未經(jīng)用戶許可,將搜狗瀏覽器篡改為360瀏覽器和IE瀏覽器。隨后,搜狗公司就此發(fā)表官方聲明,而360方面也對(duì)此進(jìn)行了反駁。事實(shí)上目前在國內(nèi),由騰訊、搜狗、金山、百度的“TSJB聯(lián)盟”已逐漸浮現(xiàn)出來。
掃一掃 關(guān)注放心簽公眾號(hào)
掃一掃 關(guān)注放心簽小程序
在線咨詢
電話咨詢
全國服務(wù)熱線
微信咨詢