互联网曝重大安全漏洞 全球六成网站“心脏出血”

时间:2014-04-11 17:10   来源:新华国际

  据参考消息4月11日报道【英国《金融时报》网站4月9日报道】题:“心脏出血漏洞”威胁网络数据安全

  一种加密技术被发现存在缺陷,这有可能将网站流量、用户数据和存储内容暴露给网络犯罪分子。在所有网站中,使用这种加密技术的占到三分之二,包括谷歌、亚马逊、雅虎和脸谱等网站。

  一些安全工程师上周在OpenSSL软件中发现了这种“心脏出血漏洞”。在这一消息于7日晚间对外宣布之前,各技术公司紧急修复了各自的系统。

  目前尚没有证据证明黑客已经利用了这一漏洞,该漏洞让电脑系统在长达三年的时间里一直处于危险状态。

  OpenSSL公布了修复这一漏洞的最新方法,使用该软件的公司必须进行更新才能保证安全。

  谷歌表示已修复了谷歌核心服务中的这一漏洞。脸谱网说,在这一消息曝光之前,该公司已加强了保护措施。亚马逊的云计算服务部门表示已设法降低了损害,因此客户不必采取任何行动。雅虎说,它已对主要网站采取了必要的纠正举措,而且正在努力修复其他网站。

  但是,就算修复了软件的漏洞,也不一定能看出黑客是否已利用这一弱点进入了系统。监控全球网站编码的Netcraft公司说,50多万家被信赖的网站面临这一漏洞的威胁。

  云网络安全服务公司总裁马修?普林斯说,该公司在上周得到警示后,已对加密技术进行了调整。该公司为大约5%的Web请求提供安全屏障。

  普林斯说:“这非常糟糕,可能极端糟糕。这确实是有史以来最糟糕的互联网漏洞之一。”

  普林斯警告说,由于六成以上的网站使用的都是这款软件,因此这个漏洞可能影响到“几乎每一个人”。他说,该漏洞能让黑客读取计算机存储的所有信息。

  研究人员发现,人们可以利用这一弱点来读取雅虎邮箱中的邮件。不过目前尚不清楚其他安全信息的密钥是否也遭泄露,这些密钥所保护的内容涉及方方面面,从知识产权到信用卡信息。

  普林斯说:“大家都在担心的一种可怕情形是,这个漏洞可能使一些机构用来存储数据的核心安全密钥也遭到泄露。”如果这些密钥被泄露,那么这些公司可能必须替换用来保护信息的所有安全密码。

  发现这一漏洞的是安全检测公司Codenomicon和谷歌安全部门的研究人员。

  他们说,由于通过这一漏洞可以不留痕迹地发动攻击,他们不清楚该漏洞是否已遭到大肆利用。他们呼吁相关公司用假信息建立“蜜罐”系统,从而诱捕黑客。

  他们表示:“我们从袭击者的角度对我们自己的一些服务进行了测试。在不使用任何保密信息或凭证的情况下,我们能窃取证书密钥、用户名和密码、即时通信信息、电子邮件和重要的商业文件及通信。”

编辑:李杰

相关新闻

图片