本周,OpenSSL基金會發布警告稱,一個已存在10年的漏洞可能導致黑客利用通過OpenSSL加密的流量發動“中間人”攻擊。
據了解,這個新發現的OpenSSL漏洞可被用于攔截經過加密的安全套接層(SSL)和安全傳輸層(TLS)通訊,發動“中間人攻擊”。目前仍有1.2萬個熱門域名存在這一漏洞。而根據OpenSSL基金會此次發布的消息,黑客可能利用新漏洞去攔截加密流量,對其進行解密,隨后閱讀流量中的內容。
這一安全漏洞由日本IT咨詢公司Lepidum研究員Masashi Kikuchi發現,已經在周四發布的OpenSSL 0.9.8za、1.0.0m、1.0.1h版本中進行了修復。新版軟件還修復了三個拒絕服務問題以及一處當OpenSSL庫被用于數據安全傳輸層(DTLS)連接時出現的遠程代碼執行漏洞。
OpenSSL的用戶被建議安裝新的補丁,并升級至OpenSSL軟件的最新版本。與能夠導致服務器直接受到攻擊的“心臟流血”漏洞不同,這一新漏洞要求黑客位于兩臺通信的計算機之間。例如,使用機場公開WiFi的用戶可能成為被攻擊目標。
值得關注的是,這一漏洞自1998年OpenSSL首次發布以來就一直存在。而“心臟流血”漏洞是在2011年新年OpenSSL進行升級時引入的。
這一漏洞在長達十幾年的時間內一直沒有被發現,這再次表明了OpenSSL管理的缺陷。OpenSSL是開源的,這意味著任何人都可以對其進行評估及更新。
此外,令人欣慰的消息是,這種攻擊需要中間人,非OpenSSL客戶端(IE、Firefox、桌面版Chrome、iOS、Safari等)不會受到影響。盡管如此,為避免不必要的后果,建議所有OpenSSL用戶都應該進行升級。
京公網安備 11010502049343號