OpenSSL曝重大安全漏洞可致網(wǎng)購支付密碼泄露

2014年04月09日 09:24

4月8日晚間消息，安全協(xié)議OpenSSL今日爆出本年度最嚴(yán)重的安全漏洞。此漏洞在黑客社區(qū)中被命名為“心臟出血”，利用該漏洞，黑客坐在自己家里電腦前，就可以實(shí)時(shí)獲取到約30%https開頭網(wǎng)址的用戶登錄賬號(hào)密碼，包括大批網(wǎng)銀、購物網(wǎng)站、電子郵件等。

　　OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，目前正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。

　　360安全專家石曉虹介紹說，OpenSSL此漏洞堪稱網(wǎng)絡(luò)核彈，網(wǎng)銀、網(wǎng)購、網(wǎng)上支付、郵箱等眾多網(wǎng)站受其影響。無論用戶電腦多么安全，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。

　　此次漏洞的成因是OpenSSL Heartbleed模塊存在一個(gè)BUG，當(dāng)攻擊者構(gòu)造一個(gè)特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會(huì)導(dǎo)致memcpy把SSLv3記錄之后的數(shù)據(jù)直接輸出，該漏洞導(dǎo)致攻擊者可以遠(yuǎn)程讀取存在漏洞版本的openssl服務(wù)器內(nèi)存中長(zhǎng)大64K的數(shù)據(jù)。

　　據(jù)了解，今天下午，大量網(wǎng)站已開始緊急修復(fù)此OpenSSL高危漏洞，但是修復(fù)此漏洞普遍需要半個(gè)小時(shí)到一個(gè)小時(shí)時(shí)間，大型網(wǎng)站修復(fù)時(shí)間會(huì)更長(zhǎng)一些。

聯(lián)系我們

郵編

100083

郵箱

ISC@isc.org.cn

地址

北京市海淀區(qū)學(xué)院路42號(hào)院
綜合部(黨群部)

010-57234929-1056

財(cái)務(wù)人事部

010-57234929-1112

宣傳部

010-57234929-1002、010-57234929-1003

網(wǎng)民權(quán)益保護(hù)部

010-57234929-1012

研究部(標(biāo)準(zhǔn)工作辦公室)

010-57234929-1039、010-57234929-1038

中國互聯(lián)網(wǎng)大會(huì)專班

18511857092
國際部

010-57234929-1128、010-57234929-1127

會(huì)員部

010-57234929-1120、1121、1122、1123、1125

監(jiān)管支撐部

010-57234929-1027

產(chǎn)業(yè)促進(jìn)部

010-57234929-1032、 010-57234929-1059

創(chuàng)新發(fā)展與人才工作部

010-57234929-1052、010-57234929-1053

北京中互網(wǎng)來信息技術(shù)有限公司

13910986745