【PConline 資訊】今年4月爆出的Heartbleed漏洞至今依然令整個(gè)互聯(lián)網(wǎng)界心有余悸，外媒消息，近日，為全球各大網(wǎng)站廣泛使用的OpenSSL安全協(xié)議又曝出另一項(xiàng)重大漏洞，據(jù)稱該漏洞已經(jīng)潛伏16年之久，任何黑客都可以通過該漏洞破解加密層竊取數(shù)據(jù)。

　　OpenSSL基金會(huì)近期發(fā)布一項(xiàng)建議性警告，希望用戶再次對(duì)所使用的SSL安全協(xié)議進(jìn)行升級(jí)，以修復(fù)一項(xiàng)此前從未發(fā)現(xiàn)的漏洞。據(jù)悉，這一漏洞由日本安全研究員菊池志（Masashi Kikuchi）發(fā)現(xiàn)，通過迫使電腦和服務(wù)器使用強(qiáng)度更低的密鑰，使得位于兩者之間的中間人得以進(jìn)行解密并讀取數(shù)據(jù)。

　　據(jù)軟件公司Lepidum（菊池志的雇主）發(fā)布的一份文件顯示，該缺陷允許惡意中間節(jié)點(diǎn)截取被加密的數(shù)據(jù)，并通過迫使SSL協(xié)議客戶端使用直接暴露的低強(qiáng)度密鑰，從而對(duì)其進(jìn)行解密。通俗來講，這就好比兩個(gè)人在建立安全連接，這時(shí)有攻擊者插入一條命令，讓兩人誤以為他們使用的仍然是私人密碼，而實(shí)際上這一密碼已經(jīng)為攻擊者所知。

　　另外，該漏洞與Heartbleed不同，后者允許任何人直接攻擊任何使用OpenSSL協(xié)議的服務(wù)器，而使用該漏洞的黑客則必須位于兩臺(tái)計(jì)算機(jī)之間。盡管如此，該漏洞還是存在巨大的隱患。比如用戶在使用公共網(wǎng)絡(luò)時(shí)，就很容易受到攻擊。而且，本次漏洞還有另一大局限性，即只有連接的兩端都使用OpenSSL協(xié)議時(shí)，才可利用本漏洞進(jìn)行數(shù)據(jù)破解。專家稱，大部分瀏覽器都使用其他SSL協(xié)議，所以并不會(huì)受到影響。不過，Android設(shè)備以及許多VPN使用的正是OpenSSL協(xié)議，尤其是后者，由于常常涉及敏感數(shù)據(jù)，因此很容易成為被攻擊的對(duì)象。

　　菊池志在博文中指出，早在1998年OpenSSL開發(fā)之初，該漏洞就一直存在。盡管前不久的Heartbleed事件讓業(yè)界開始廣泛關(guān)注起OpenSSL協(xié)議的安全性，但是OpenSSL代碼受到專業(yè)安全研究人員的檢測(cè)和維護(hù)程度還是遠(yuǎn)遠(yuǎn)不夠。如果能夠得到TLS/SSL領(lǐng)域?qū)＜业木S護(hù)，這些漏洞可能早就被發(fā)現(xiàn)并修補(bǔ)。

　　有專家指出，在棱鏡門事件一周年紀(jì)念日之際發(fā)現(xiàn)隱藏十幾年的安全漏洞，對(duì)于安全領(lǐng)域是一個(gè)頗具諷刺意味的嚴(yán)酷教訓(xùn)。像OpenSSL這樣歷史悠久、使用范圍廣泛的安全協(xié)議可能仍然存在最基本的缺陷和漏洞，而僅有少數(shù)工程師利用不足的資源對(duì)這些協(xié)議進(jìn)行維護(hù)，這對(duì)于整個(gè)互聯(lián)網(wǎng)界都是一種羞辱。