fiendgreed 2014-4-9 16:01
OpenSSL曝重大安全漏洞 可致网购支付密码泄露[2P]
[size=4]4月8日晚间消息,[b]应用范围极广的安全协议OpenSSL昨晚爆出本年度最严重的安全漏洞[/b]。此漏洞在黑客社区中被命名为“心脏出血”,利用该漏洞,黑客坐在自己家里电脑前,就[b][color=Blue]可以实时获取到约30% https开头网址的用户登录账号密码[/color],包括大批网银、购物网站、电子邮件等。[/b][/size]
[align=center][size=4][img]http://img.evolife.cn/2014-04/880540578e4f8da0_thumb.jpg[/img][/size][/align][size=4]
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。[/size]
[size=4][b]无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。[/b][/size]
[size=4]此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者[b][color=Blue]可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据[/color][/b]。[/size]
[align=center][size=4][img]http://img.evolife.cn/2014-04/c809eb779400ab91_thumb.jpg[/img][/size][/align][size=4]
据了解,今天下午,大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。[/size]
[size=4]不过,试用微软、思科、苹果系统作为后端的网站大可不必在意,[color=Blue][b]因为大部分商业公司使用的SSL加密都是付费的,与本次爆出漏洞的OpenSSL关系不大[/b][/color],真正[b][color=Blue]要小心的是那些使用Linux、mysql、php等开源架构的网站[/color][/b]。[/size]
[[i] 本帖最后由 fiendgreed 于 2014-4-9 16:02 编辑 [/i]]
bbcwww 2014-4-9 16:41
这几天上网支付的要小心了,OpenSSL此漏洞堪称网络核弹,网银、网购、网上支付、邮箱等众多网站受其影响,又得改密码了。
askmj 2014-4-9 16:45
去支付宝和黑东或者亚马逊买就是了,货到付款~ 绝对安全~不过网购本来就不是绝对安全,最好的办法是,不要存太多的钱
在线客服(1)