OpenSSL曝出重大缺陷 用户数据可被窃取
“目前淘宝、微信、雅虎都出现了敏感信息泄露。”昨日,网上一则传言让不少网友心惊肉跳,传言所指的漏洞源自OpenSSL。SSL可能是大家接触比较多的安全协议之一,看到某个网站用了 https:// 开头,就是采用了SSL安全协议。而OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
在昨天,Google和网络安全公司Codenomicon的研究人员发现,OpenSSL确实曝出重大安全漏洞:简单的说,黑客可以对使用https(存在此漏洞)的网站发起攻击,每次读取服务器内存中64K数据,不断的反复获取,内存中可能会含有用户http原始请求、用户cookie甚至明文帐号密码等。
什么值得买网站没有采用SSL安全协议,而是其他加密方式,所以不存这次曝出的安全漏洞问题,大家可以对帐号放心。网友们经常访问的购物网站、比如支付宝、微信、淘宝、网银、陌陌、12306等知名网站均存在这个漏洞,而更有网友测试了世界最流行的1000家网站,结果30%~40%的都有问题,包括雅虎、NASA。据了解,这个漏洞已长时间存在,只是在昨天才被曝出,所以很难估计到底有多少网站、多少用户的资料被窃取。
目前,OpenSSL已经发布了新版本修复这一问题,但各个网站修复这个漏洞都可能需要1-3天的时间,有些反应较为迅速的网站如淘宝,微信等可能修复的更快。不过保险起见,建议大家最近几天谨慎使用支付宝、网银等涉及敏感到自己信息的网站。当各大网站修复这个问题之后,我们建议用户通过修改密码来保护自己的信息安全。
来源:36Kr