4月9日,據科技博客網站TechCrunch報道,過去兩年來,被許多企業和服務用來加密數據的安全協議OpenSSL一直存在一個漏洞,黑客可以利用該漏洞從服務器內存中竊取64KB數據。
64KB數據量并不大,但黑客可以重復利用該漏洞,多次竊取數據,并可能因此獲得用戶的加密密鑰,解密敏感數據。
更糟糕的是,即使修正了這一漏洞,但用戶并不清楚自己的服務器此前是否曾遭到攻擊。用戶可以淘汰原有的密鑰,但這只能保護用戶未來不會受到利用該漏洞的攻擊。
安全研究人員尼古拉斯·韋弗(Nicholas Weaver)表示,“我認為,未來一年內仍然會有大量服務器存在該漏洞,漏洞不會得到及時修正。”
雅虎在一份聲明中表示,“最近,一個名為Heartbleed的漏洞被發現影響許多使用OpenSSL的平臺,其中包括我們的平臺。得知這一消息后,我們立即著手修正這一漏洞。我們的團隊已經成功地在公司主要服務中采取了恰當的修正措施,目前正在修正存在于其他服務中的這一漏洞。我們一直致力于為全球用戶提供盡可能安全的體驗,我們將不斷努力,確保用戶數據的安全。”
京公網安備 11010502049343號