会员中心 忘记密码? 加入收藏网站地图
首页 法律咨询 找律师 找律所 找案例律师文集 法律新闻法律知识法律文书

法律资讯主页 > 国际资讯 > 正文

法律资讯

OpenSSL漏洞“Heartbleed”曝光 网购用户可被窃取资料

 85人浏览  0人评论 来源:网络  发布时间:2014-04-09 9:43:45
导读:  OpenSSL一个名为“Heartbleed”的漏洞周一曝光。利用这一漏洞,攻击者可以获取用户的密码,或欺骗用户访问钓鱼网站。目前已有业内人士表示,利用这一漏洞获得了雅虎用户的密码。  OpenSSL是一款开源软件,被广泛用于在线通信的加密。HeartBeat漏洞能够泄露服务器内存中的内容,而这...

    OpenSSL一个名为“Heartbleed”的漏洞周一曝光。利用这一漏洞,攻击者可以获取用户的密码,或欺骗用户访问钓鱼网站。目前已有业内人士表示,利用这一漏洞获得了雅虎用户的密码。

 

    OpenSSL是一款开源软件,被广泛用于在线通信的加密。HeartBeat漏洞能够泄露服务器内存中的内容,而这其中包含了一些最敏感的数据,例如用户名、密码和信用卡号等隐私数据。此外,攻击者可以获得服务器数字密钥的拷贝,从而模仿这些服务器,或是对用户通过服务器的通信进行解密。

 

    这一信息安全漏洞尤为严重。如果希望修复这一漏洞,那么网站将被迫进行大幅调整,此外任何使用OpenSSL的用户都必须修改密码,因为这些密码可能已被窃取。由于越来越多人依赖在线服务,并在多个网站中重复使用同一密码,因此这将带来大问题。


    信息安全公司Fox-IT的罗纳德·普林斯(Ronald Prins)通过Twitter表示:“我们已通过Heartbleed漏洞获得了雅虎的一个用户名和密码。”而另一名开发者斯科特·加洛维(Scott Galloway)表示:“运行Heartbleed脚本5分钟时间,就获得了雅虎电子邮箱的200个用户名和密码。”


    雅虎周一晚些时候宣布,已修复了主要网站的这一漏洞。目前雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎食品、雅虎科技、Flickr和Tumblr等网站上的漏洞已经修复,而雅虎正在解决其他网站的问题。不过雅虎并未告知用户应当采取什么措施,以及这一漏洞对用户造成了什么影响。


    加密学专家菲利普·瓦尔索达(Filippo Valsorda)发布了一款工具,帮助用户检查网站上是否存在Heartbleed漏洞。这一工具显示,谷歌、微软、Twitter、Facebook、Dropbox和其他多家网站都没有这一问题,但雅虎不在其中。测试中出现问题的其他网站还包括Imgur、OKCupid和Eventbrite等。

    这一漏洞的正式名称为CVE-2014-0160。漏洞影响了OpenSSL的1.0.1和1.0.2测试版。OpenSSL已经发布了1.0.1g版本,以修复这一问题,但网站对这一软件的升级还需要一段时间。不过,如果网站配置了一项名为“perfect forward secrecy”的功能,那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥,因此即使某一特定密钥被获得,攻击者也无法解密以往和未来的加密数据。

 

声明:本网刊载内容均系网民撰写或采拍,由网民自负版权等法律责任。本网刊载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。
所用图片如有版权,请联系本站,会立刻删除。


>>相关图片

>>相关新闻

最新评论
暂无评论
网友评论
0人评论 用  户:匿名  点击登录
所有评论仅代表网友意见,律法网保持中立
1212

热门文章

优惠券

推荐律师

推荐文章

更多>>法律宽频

4006-222-148 工作日:9:00-18:00
周 六:9:00-12:00

关于网站 | 关于我们 | 网站声明 | 用户反馈 | 广告招商 | 友情连接 | 联系我们 | 草明新闻 | TOP热卖 |
CopyRight 2006-2011 www.1148.cn, All Rights Reserved 电话:0371-63691829 邮箱:law(艾特)88148.com
律法网 www.1148.cn「版权所有」备案号:豫ICP备2021007202号-2

声明:网站所有信息均有第三方自动申请添加,如果侵犯了您的权益,请来电告知,我们将在24小时内删除。