OpenSSL曝重大安全漏洞 可致網購支付密碼泄露

新浪科技訊 4月8日晚間消息，安全協議OpenSSL今日爆出本年度最嚴重的安全漏洞。此漏洞在黑客社區中被命名為“心臟出血”，利用該漏洞，黑客坐在自己家裏電腦前，就可以實時獲取到約30%https開頭網址的用戶登錄賬號密碼，包括大批網銀、購物網站、電子郵件等。

OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，目前正在各大網銀、在支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。

360安全專家石曉虹介紹，OpenSSL此漏洞堪稱網絡核彈，網銀、網購、網上支付、郵箱等多網站受其影響。無論用戶電腦多麼安全，只要網站使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼。

此次漏洞的成因是OpenSSL Heartbleed模組存在一個BUG，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之后的數據直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的openssl伺服器內存中長大64K的數據。

據了解，今天下午，大量網站已開始緊急修復此OpenSSL高危漏洞，但是修復此漏洞普遍需要半個小時到一個小時時間，大型網站修復時間會更長一些。(愛文)