10日,安全人員又發現了Heartbleed漏洞的蹤跡,利用該漏洞的攻擊者可獲取用戶密碼,并誘使用戶訪問偽造的網站。
FreeBuf 百科Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一個重大安全漏洞,2014年4月7號,由國外黑客曝光。該漏洞可以讓攻擊者獲得服務器上64K內存中的數據內容。由于使用OpenSSL的源代碼的網站數量巨大,因此該漏洞影響十分嚴重。
OpenSSL是一個強大的安全套接字層密碼庫,包括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議,并提供豐富的應用程序供測試或其它目的使用。
該漏洞存在于OpenSSL中,可以泄露服務器的內存內容,其中包含大量主機托管數據等敏感信息,如用戶名、密碼和信用卡號碼等。另外,攻擊者還可以復制服務器的數字密鑰,隨后偽造服務器或解密通信。
安全人員RonaldPrins對雅虎網站進行測試證實,攻擊者可以借助Heartbleed漏洞獲取用戶名和密碼。Scott Galloway發表推文稱,運行5分鐘的Heartbleed代碼就可以獲取200對雅虎郵箱的用戶名和密碼。
解決方案雅虎稱已在其主網站上修復了該漏洞,其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外,其安全團隊正在其余網站上實現該修復。但是,雅虎還沒有為用戶提供相關的安全建議。
加密技術顧問FilippoValsorda研發了一種工具,可供用戶在網站中檢測Heartbleed漏洞。目前已檢測到Google、Microsoft、Twitter、Facebook、Dropbox等主流網站不受該漏洞影響,而有一些網站如Imgur、OKCupid和Eventbrite等受該漏洞影響。
根據OpenSSL發布的公告,該漏洞影響OpenSSL 1.0.1版本和1.0.2-beta版本,并且已經發布了1.0.1g版本修復該漏洞。網絡運營商需要升級該軟件,并撤銷可能已經被攻擊者控制的證書。