OpenSSL重大漏洞曝光：影響雅虎等多家網站

新浪科技訊 北京時間4月9日早間消息，OpenSSL一個名為“Heartbleed”的漏洞周一曝光。利用這一漏洞，攻擊者可以獲取用戶的密碼，或欺騙用戶訪問釣魚網站。目前已有業內人士表示，利用這一漏洞獲得了雅虎用戶的密碼。

OpenSSL是一款開源軟件，被廣泛用於在通信的加密。HeartBeat漏洞能夠泄露伺服器內存中的內容，而這其中包含了一些最敏感的數據，例如用戶名、密碼和信用卡號等隱私數據。此外，攻擊者可以獲得伺服器數字密鑰的拷貝，從而模仿這些伺服器，或是對用戶通過伺服器的通信進行解密。

這一信息安全漏洞尤為嚴重。如果希望修復這一漏洞，那麼網站將被迫進行大幅調整，此外任何使用OpenSSL的用戶都必須修改密碼，因為這些密碼可能已被竊取。由於越來越多人依賴在服務，並在多個網站中重覆使用同一密碼，因此這將帶來大問題。

信息安全公司Fox-IT的羅納德·普林斯(Ronald Prins)通過Twitter表示：“我們已通過Heartbleed漏洞獲得了雅虎的一個用戶名和密碼。”而另一名開發者斯科特·加洛維(Scott Galloway)表示：“運行Heartbleed腳本5分鐘時間，就獲得了雅虎電子郵箱的200個用戶名和密碼。”

雅虎周一晚些時候宣佈，已修復了主要網站的這一漏洞。目前雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經、雅虎體育、雅虎食品、雅虎科技、Flickr和Tumblr等網站上的漏洞已經修復，而雅虎正在解決其他網站的問題。不過雅虎並未告知用戶應當採取什麼措施，以及這一漏洞對用戶造成了什麼影響。

加密學專家菲利普·瓦爾索達(Filippo Valsorda)發布了一款工具，幫助用戶檢查網站上是否存在Heartbleed漏洞。這一工具顯示，谷歌、微軟、Twitter、Facebook、Dropbox和其他多家網站都沒有這一問題，但雅虎不在其中。測試中出現問題的其他網站還包括Imgur、OKCupid和Eventbrite等。

這一漏洞的正式名稱為CVE-2014-0160。漏洞影響了OpenSSL的1.0.1和1.0.2測試版。OpenSSL已經發布了1.0.1g版本，以修復這一問題，但網站對這一軟件的升級還需要一段時間。不過，如果網站配置了一項名為“perfect forward secrecy”的功能，那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰，因此即使某一特定密鑰被獲得，攻擊者也無法解密以往和未來的加密數據。(維金)