OpenSSL曝出重大缺陷 用户数据可被窃取

“目前淘宝、微信、雅虎都出现了敏感信息泄露。”昨日，网上一则传言让不少网友心惊肉跳，传言所指的漏洞源自OpenSSL。SSL可能是大家接触比较多的安全协议之一，看到某个网站用了 https:// 开头，就是采用了SSL安全协议。而OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

在昨天，Google和网络安全公司Codenomicon的研究人员发现，OpenSSL确实曝出重大安全漏洞：简单的说，黑客可以对使用https（存在此漏洞）的网站发起攻击，每次读取服务器内存中64K数据，不断的反复获取，内存中可能会含有用户http原始请求、用户cookie甚至明文帐号密码等。

什么值得买网站没有采用SSL安全协议，而是其他加密方式，所以不存这次曝出的安全漏洞问题，大家可以对帐号放心。网友们经常访问的购物网站、比如支付宝、微信、淘宝、网银、陌陌、12306等知名网站均存在这个漏洞，而更有网友测试了世界最流行的1000家网站，结果30%～40%的都有问题，包括雅虎、NASA。据了解，这个漏洞已长时间存在，只是在昨天才被曝出，所以很难估计到底有多少网站、多少用户的资料被窃取。

目前，OpenSSL已经发布了新版本修复这一问题，但各个网站修复这个漏洞都可能需要1-3天的时间，有些反应较为迅速的网站如淘宝，微信等可能修复的更快。不过保险起见，建议大家最近几天谨慎使用支付宝、网银等涉及敏感到自己信息的网站。当各大网站修复这个问题之后，我们建议用户通过修改密码来保护自己的信息安全。

来源：36Kr