OpenSSL现新漏洞:或比“心脏流血”更危险
BI中文站 6月6日报道
在OpenSSL网络加密标准中,最新又被发现了更多的严重级漏洞,而这些漏洞则出现在恶名远扬的“心脏流血(Heartbleed)”漏洞被发现的两个月之后。
据发现这些最新OpenSSL高危漏洞的研究人员Tatsuya Hayashi向媒体宣称,这些最新发现的OpenSSL漏洞可能比“心脏流血”漏洞更危险,因为这些最新漏洞能够被用来直接监控设备用户的通讯情况。
“心脏流血”漏洞今年4月被发现时,就一直被业界看作是目前为止最高危的互联网漏洞之一。OpenSSL旨在通过电子钥匙来保护用户的数据,但在最近几个月中,已经被曝光了大量的漏洞。
最新的这些漏洞自从1998年以来就一直存在,所幸的是,在这16年的时间内,这些漏洞一直未被从事开放源项目的付费和义务开发者发现。与此同时,据一些研究人员透露,本周详细列出的OpenSSL一大高危漏洞也是由负责“心脏流血”漏洞的同一人士引入。
据称,黑客可以利用Hayashi发现的这些漏洞,对同一网络中的目标实施攻击,例如对同一个公共Wi-Fi网络中的目标,黑客能够迫使被攻击PC和网络服务器之间连接点上的加密钥匙失效。在掌控了这些加密钥匙之后,攻击者就能够拦截数据。这些攻击者甚至还能够更改在用户和网站之间正在发送的数据,以此来诱骗被攻击用户发送出更多的敏感信息,例如用户名和密码等,这种攻击手法被称为“中间人”攻击法。
Hayashi声称:“在公开Wi-Fi网络形势下,攻击者能够非常轻松地窃取加密通讯数据,并改编虚假数据。被攻击者无法检测到攻击者的任何追踪行为。”
这一漏洞将会危及所未使用最新版本OpenSSL的PC和移动软件,其中包括Android手机上的Chrome浏览器,以及搭载OpenSSL 1.0.1的服务器以及搭载OpenSSL 1.0.2测试版的服务器。事实上,诸多网站主都将运行OpenSSL 1.0.1,因为OpenSSL 1.0.1已经修复了“心脏流血”漏洞。不过,幸运的是,OpenSSL经营团队已经发布了相关的补丁。目前,使用漏洞版本OpenSSL的互联网用户已经被要求安装相关的补丁,目前OpenSSL管理团队已经公布了相关详细方案,其中包括修复OpenSSL的其它一系列漏洞在内。
据称,此次最新发现的另一款OpenSSL漏洞,能够让攻击者发送恶意程序,进而影响运行OpenSSL的设备,从而再让这些设备泄露数据,这一漏洞也是被当初负责“心脏流血”漏洞事务的同一开发者引入,这名开发者就是罗宾·塞格尔曼(Robin Seggelmann)。
据安全公司Rapid7的战略服务副总裁尼克·皮尔科科(Nick Percoco)称,修复Hayashi发现的最新漏洞之工作量可能要比修复“心脏流血”漏洞的工作量大很多。
不过,谷歌(微博)安全工程师亚当·朗利(Adam Langley)在博客中称,许多受欢迎的浏览器似乎非常安全,没有遭到攻击。他称:“非OpenSSL客户端产品(包括IE、Firefox、台式Chrome、iOS版Chrome以及Safari等)都没有受到影响。当然,所有的OpenSSL必须对此产品进行更新。”(悦潼)
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文