继心脏流血后OpenSSL再曝新漏洞 信息安全风险加剧 点击:57 | 回复:0



sanlengu

    
  • 精华:0帖
  • 求助:0帖
  • 帖子:217帖 | 0回
  • 年度积分:0
  • 历史总积分:478
  • 注册:2014年5月20日
发表于:2014-06-06 13:59:12
楼主

  6月6日消息,据国外媒体报道,信息安全专家周四指出,曾在今年4月造成互联网“心脏流血”事件的网络加密软件又曝出新漏洞。


  专家指出,该漏洞通过OpenSSL加密的流量发动攻击。这与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,新漏洞允许黑客秘密在两台计算机之间相互通信,但是没有像“心脏流血”一样对互联网造成严重威胁。


  周四,负责对OpenSSL更新的专家小组软件更新过程中发现了这一漏洞。这次软件升级包含7个安全补丁。为避免新漏洞被黑客利用,专家建议使用OpenSSL技术的网站和科技公司尽快将系统升级至最新版本。


  这一漏洞的发现者表示,当服务器和客户端都存在漏洞时,攻击者可以窃听及伪造用户的通信。


  据了解,全球三分之二的网站都在使用OpenSSL技术,其中包括Facebook,亚马逊、谷歌、以及雅虎等科技巨头。成千上万的科技公司产品也都纳入了该技术,像思科、惠普、IBM、英特尔和甲骨文公司。


  信息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVG Virus Labs的数据,目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。


  此外,在“心脏流血”漏洞被发现之后,包括亚马逊、思科、戴尔、谷歌、英特尔、高通和VMware在内的公司都承诺在未来3年内每年投入10万美元,用于CoreInfrastructure Initiative项目。


  山丽网安的专家提醒:心脏流血漏洞的发生好像还近在眼前,而且目前还未完全修复解决,现在OpenSSL又爆出了新的漏洞。双重漏洞带来了更加危险的信息安全风险。为了不让信息泄露,让不法分子非法拦截信息,使用灵活且本源的加密软件从最根本数据进行加密保护是最好的办法。




热门招聘
相关主题

官方公众号

智造工程师