“心脏出血”后OpenSSL又一漏洞曝光

07.06.2014  08:53

京华时报漫画谢瑶

京华时报讯(记者廖丰)前天晚上,OpenSSL基金会发布警告称,又发现了新的漏洞,这些漏洞已存在10年以上,可能导致黑客通过OpenSSL加密的流量发动“中间人”攻击。两个月之前,OpenSSL“心脏出血”的漏洞刚刚令业界颤抖不已。

OpenSSL团队发布了5个新的安全补丁,用于修复七处高危漏洞,其中一个漏洞已潜伏16年,该漏洞可导致“中间人”截获OpenSSL加密的网站登录密码、电子邮件、聊天记录等重要数据。

中间人攻击是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。使用机场公开WiFi的用户,就有可能成为此类攻击的目标。

OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。外媒分析称,新发现的漏洞自1998年OpenSSL首次发布以来就一直存在,而“心脏出血”漏洞是在2011年新年OpenSSL进行升级时引入的。新发现的漏洞在长达十几年的时间内一直没有被发现,再次表明了OpenSSL管理的缺陷。OpenSSL是开源的,这意味着任何人都可以对其进行评估及更新。

360网络攻防实验室昨天表示,由于目前没有公开的漏洞攻击代码,而且OpenSSL已及时发布补丁,这波漏洞的实际威胁会低于“心脏出血”。