互聯(lián)網(wǎng)上應(yīng)用最廣門鎖爆出嚴(yán)重安全漏洞

“4月8日是黑客和白帽子們的不眠之夜。”有人這樣形容。早上還在討論WINXP停止服務(wù)，到晚上

九塊郵九塊九包郵bhu6g已到處是OpenSSL的漏洞消息。OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)

九塊郵九塊九包郵bhu6g議，在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等廣泛使用。就是這個(gè)被許多企業(yè)和服務(wù)商用

九塊郵九塊九包郵bhu6g來(lái)加密數(shù)據(jù)的安全協(xié)議，爆出了本年度最嚴(yán)重的安全漏洞——黑客可以利用這個(gè)漏洞從服務(wù)器內(nèi)存中竊取6

九塊郵九塊九包郵bhu6g4KB數(shù)據(jù)，64KB數(shù)據(jù)量并不大，但黑客可以重復(fù)利用該漏洞，多次竊取數(shù)據(jù)，并可能因此獲得用戶的

九塊郵九塊九包郵bhu6g加密密鑰，解密敏感數(shù)據(jù)。打個(gè)比方，OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣“門鎖”，而這個(gè)漏洞讓

九塊郵九塊九包郵bhu6g特定版本的OpenSSL成了不設(shè)防的保險(xiǎn)箱。驚現(xiàn)安全漏洞“(這個(gè)消息)我們最初是在海外論壇

九塊郵九塊九包郵bhu6g上看到的，很快傳回了國(guó)內(nèi)?！苯鹕绞紫踩珜＜依铊F軍說(shuō)，4月7日(美國(guó)當(dāng)?shù)貢r(shí)間)有黑客公布了舊版

九塊郵九塊九包郵bhu6g本OpenSSL的安全漏洞，“因?yàn)槁┒礄C(jī)制描述得非常詳細(xì)，很快就在圈內(nèi)傳開了。”漏洞的發(fā)布在

九塊郵九塊九包郵bhu6g一個(gè)相當(dāng)危險(xiǎn)的時(shí)間點(diǎn)——黑客們已經(jīng)紛紛出動(dòng)，而一些公司的負(fù)責(zé)人卻正在睡覺。發(fā)現(xiàn)者們給這個(gè)漏洞起

九塊郵九塊九包郵bhu6g了個(gè)相當(dāng)形象的名字“heartbleed”，直譯為“心臟出血”。這一夜，互聯(lián)網(wǎng)的安全核心，開始

九塊郵九塊九包郵bhu6g滴血。黑客、白帽子們、運(yùn)維主管、安全廠商們，聞著“血”而動(dòng)：他們有的開始狂歡，逐一進(jìn)入戒備森

九塊郵九塊九包郵bhu6g嚴(yán)的網(wǎng)站，收集泄露數(shù)據(jù)；有的開始測(cè)試有多少網(wǎng)站受到影響以及推出檢測(cè)腳本；有的在統(tǒng)計(jì)漏洞信息，還

九塊郵九塊九包郵bhu6g要準(zhǔn)備說(shuō)服客戶，解釋問(wèn)題的嚴(yán)重性；有的連夜開始緊急預(yù)警修復(fù)升級(jí)系統(tǒng)版本；WooYun漏洞平臺(tái)上

九塊郵九塊九包郵bhu6g很多白帽子開始對(duì)大范圍網(wǎng)站進(jìn)行了測(cè)試刷分，場(chǎng)面頗為壯觀……而普通網(wǎng)民們卻毫不知情?！昂芸?，甚

九塊郵九塊九包郵bhu6g至有黑客發(fā)布了舊版本OpenSSL的‘傻瓜攻擊’?！崩铊F軍解釋說(shuō)，這意味著非專業(yè)技術(shù)人員只要依

九塊郵九塊九包郵bhu6g樣畫葫蘆就能利用漏洞從服務(wù)器內(nèi)竊取數(shù)據(jù)。“收到這個(gè)漏洞后我們最先測(cè)試了支付寶，確認(rèn)存在此漏洞

九塊郵九塊九包郵bhu6g，發(fā)起檢測(cè)。之后我們又發(fā)現(xiàn)雅虎門戶主頁(yè)、微信公眾號(hào)、微信網(wǎng)頁(yè)版、YY語(yǔ)言、淘寶、網(wǎng)銀、陌陌、社

九塊郵九塊九包郵bhu6g交、門戶網(wǎng)站存在此漏洞?！本W(wǎng)友Evi1m0在知乎上透露，“在一個(gè)社交網(wǎng)站中我獲取到了用戶登錄的

九塊郵九塊九包郵bhu6g帳號(hào)以及密碼甚至是安全問(wèn)題與答案。這里的密碼使用的明文傳輸，以至于通過(guò)這樣的漏洞攻擊，我成功地

九塊郵九塊九包郵bhu6g登錄了上百個(gè)賬戶，當(dāng)然我什么都沒做，出于測(cè)試而已?！眹?guó)內(nèi)知名網(wǎng)站幾無(wú)幸免目前支付寶、淘寶已

九塊郵九塊九包郵bhu6g修復(fù)漏洞這個(gè)漏洞影響究竟有多大？安全專家們不約而同地推薦參考zoomeye(鐘馗之眼)的掃描

九塊郵九塊九包郵bhu6g數(shù)據(jù)，這是一個(gè)網(wǎng)絡(luò)空間搜索引擎，業(yè)界公認(rèn)的權(quán)威。根據(jù)zoomeye系統(tǒng)掃描，中國(guó)全境至少有33

九塊郵九塊九包郵bhu6g303臺(tái)服務(wù)器受本次OpenSSL漏洞影響。網(wǎng)易、微信、QQ郵箱、陌陌、雅虎、比特幣中國(guó)、支付

九塊郵九塊九包郵bhu6g寶、知乎、淘寶網(wǎng)、360應(yīng)用、京東、YY語(yǔ)言……從消費(fèi)到通訊、社交，國(guó)內(nèi)知名網(wǎng)站幾乎無(wú)一幸免。

九塊郵九塊九包郵bhu6g而很多用戶毫不知情，仍然在訪問(wèn)著老虎嘴中的站點(diǎn)。幸好，官方很快發(fā)布了漏洞的修復(fù)方案：因?yàn)檫@是

九塊郵九塊九包郵bhu6g一個(gè)舊版本OpenSSL的安全漏洞，開發(fā)者把服務(wù)器程序升級(jí)到OpenSSL1.0.1g可以解決

九塊郵九塊九包郵bhu6g?！澳壳膀v訊幾大產(chǎn)品線已經(jīng)都升級(jí)修復(fù)了，而且反復(fù)進(jìn)行了掃描，確保漏洞已經(jīng)被修復(fù)?！彬v訊相關(guān)負(fù)

九塊郵九塊九包郵bhu6g責(zé)人表示，在騰訊相關(guān)的產(chǎn)品業(yè)務(wù)如郵箱、財(cái)付通、QQ、微信等都已經(jīng)可以放心使用?！鞍⒗锲煜戮W(wǎng)站

九塊郵九塊九包郵bhu6g已經(jīng)都沒有問(wèn)題了。”阿里集團(tuán)相關(guān)負(fù)責(zé)人也表示，技術(shù)部門一得到漏洞消息就連夜進(jìn)行了版本升級(jí)，修復(fù)

九塊郵九塊九包郵bhu6g了漏洞。目前支付寶、淘寶、天貓都可以正常使用。截止記者發(fā)稿時(shí)，包括支付寶、淘寶、微信、QQ平

九塊郵九塊九包郵bhu6g臺(tái)、網(wǎng)易、12306鐵路客戶服務(wù)中心等在內(nèi)大型網(wǎng)站已修復(fù)漏洞。應(yīng)對(duì)未知風(fēng)險(xiǎn)安全專家給出兩條

九塊郵九塊九包郵bhu6g建議互聯(lián)網(wǎng)門戶洞開的“驚魂一夜”過(guò)去了，從開始到基本結(jié)束，絕大多數(shù)網(wǎng)友都一無(wú)所知。我們安全

九塊郵九塊九包郵bhu6g了嗎？從zoomeye系統(tǒng)的掃描結(jié)果看，比33303臺(tái)服務(wù)器受漏洞影響更讓人擔(dān)心的是：這些服

九塊郵九塊九包郵bhu6g務(wù)器有的在銀行網(wǎng)銀系統(tǒng)中；有的部署在第三方支付里；有的在大型電商網(wǎng)站；有的在網(wǎng)絡(luò)郵箱、即時(shí)通訊

九塊郵九塊九包郵bhu6g系統(tǒng)中……“特別是現(xiàn)在互聯(lián)網(wǎng)金融和第三方支付的發(fā)展非常迅速，這意味著以前用銀行卡、POS機(jī)進(jìn)

九塊郵九塊九包郵bhu6g行的交易都將逐漸轉(zhuǎn)移到互聯(lián)網(wǎng)上，這對(duì)網(wǎng)絡(luò)安全提出了越來(lái)越高的要求?！崩铊F軍坦承比用戶端更不可控

九塊郵九塊九包郵bhu6g的是服務(wù)端，如果黑客入侵了服務(wù)器，受損的遠(yuǎn)不止公司一個(gè)個(gè)體，還包括存放于公司數(shù)據(jù)庫(kù)的大量用戶敏

九塊郵九塊九包郵bhu6g感資料。“這個(gè)漏洞據(jù)說(shuō)早在2012年就被挖掘出來(lái)，直到昨天CVE納入編號(hào)CVE-2014-0

九塊郵九塊九包郵bhu6g160，8號(hào)才正式爆發(fā)。”Evi1m0也在知乎上透露，“使用HTTPS的網(wǎng)站大多是因?yàn)閿?shù)據(jù)需加

九塊郵九塊九包郵bhu6g密防止嗅探等攻擊的發(fā)生，漏洞爆發(fā)后徹底將這層大門打破，于是很多網(wǎng)站處于被監(jiān)聽的狀態(tài)中?！眱赡?/p>

九塊郵九塊九包郵bhu6g多時(shí)間，誰(shuí)也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會(huì)在服務(wù)器

九塊郵九塊九包郵bhu6g日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵，也就沒法定位損失、確認(rèn)泄漏信息，從而通

九塊郵九塊九包郵bhu6g知用戶進(jìn)行補(bǔ)救?！白罱鼉商觳灰卿浳葱迯?fù)的服務(wù)器，以免自投羅網(wǎng)，即使想要修改用戶名或密碼也等

九塊郵九塊九包郵bhu6g幾天再改?！睅孜话踩珜＜医o出的建議都很一致。因?yàn)樽罱鼛滋炀W(wǎng)友登錄一些關(guān)鍵服務(wù)網(wǎng)站，若網(wǎng)站未完成

九塊郵九塊九包郵bhu6g漏洞修復(fù)，登錄信息就可能被黑客遠(yuǎn)程捕獲。盡管zoomeye的掃描結(jié)果及涉及名單已經(jīng)被提交給國(guó)

九塊郵九塊九包郵bhu6g家互聯(lián)網(wǎng)應(yīng)急中心，按照流程應(yīng)由后者進(jìn)行全國(guó)預(yù)警，但截止記者發(fā)稿時(shí)，在國(guó)家互聯(lián)網(wǎng)應(yīng)急中心官網(wǎng)上尚

九塊郵九塊九包郵bhu6g無(wú)相關(guān)信息發(fā)布。事實(shí)上，除了移動(dòng)、聯(lián)通等這些大型企業(yè)外，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心也沒有強(qiáng)制力確保其

九塊郵九塊九包郵bhu6g他公司看到預(yù)警內(nèi)容，舊版本OpenSSL的安全漏洞修復(fù)時(shí)間是個(gè)不確定值。對(duì)于普通用戶怎么辦呢

九塊郵九塊九包郵bhu6g？除了在確認(rèn)有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購(gòu)物等功能，以避免用戶密碼被漏洞后的

九塊郵九塊九包郵bhu6g黑客捕獲外。安全專家們給出了兩條建議：一是對(duì)重要服務(wù)，盡可能開通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼，比如支付

九塊郵九塊九包郵bhu6g寶、郵箱等。登錄重要服務(wù)，不僅僅需要驗(yàn)證用戶名密碼，最好綁定手機(jī)，加手機(jī)驗(yàn)證碼登錄。這樣就算黑

九塊郵九塊九包郵bhu6g客拿到賬戶密碼，登錄還有另一