近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，用作保護(hù)電子郵件傳送、電子商務(wù)交易、社交網(wǎng)站文章和其他網(wǎng)絡(luò)活動的加密技術(shù)OpenSSL，出現(xiàn)了一種叫做“心臟出血”的安全漏洞，這個安全漏洞有可能會泄漏使用者的密碼和其他敏感資料。

什么是“心臟出血”漏洞？

具體來說，SSL標(biāo)準(zhǔn)包含heartbeat選項，讓SSL連接一端的計算機(jī)發(fā)出短信息來確認(rèn)另一臺計算機(jī)仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復(fù)。研究人員發(fā)現(xiàn)，存在發(fā)送偽裝的惡意heartbeat信息誘使SSL連接另一端的計算機(jī)泄露秘密信息的的可能性。也就是說計算機(jī)會被誘使傳輸服務(wù)器內(nèi)存中的內(nèi)容。

“心臟出血”漏洞工作原理

SSL標(biāo)準(zhǔn)包含一個心跳選項，允許SSL連接一端的電腦發(fā)出一條簡短的信息，確認(rèn)另一端的電腦是否在線。心臟出血漏洞可以通過巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄漏機(jī)密信息。

“心臟出血”漏洞的影響

黑客可以由電腦服務(wù)器的工作記憶體，非法取得使用者的密碼和其他資訊：“黑客可以借這安全漏洞，發(fā)動無限次攻擊。”“心臟出血”可能危及原始碼、密碼和可被用來冒用登入 網(wǎng)站或解鎖加密資料的“金鑰”。

目前解決這一問題的最好方法就是互聯(lián)網(wǎng)服務(wù)商盡快將OpenSSL升級至1.0.1g進(jìn)行修復(fù)。

admin

收藏 海報分享