最新 OpenSSL 漏洞讓網路服務商「內心淌血」...

by Casper
2014.04.09 09:36AM
3599
是最新 OpenSSL 漏洞讓網路服務商「內心淌血」...這篇文章的首圖

圖片引用來源HeartBleed OpenSSL 漏洞說明網頁原文引用來源The VergeCNET

禮拜一中午時分,一個相當嚴重的漏洞向整個 IT 業界丟了一顆震撼彈;這個被命名為「HeartBleed」的漏洞,主要發生在 OpenSSL 這套伺服器中相當常見的軟體(據說市佔達 2/3,包括 Apache 及 Nginx 當中都有 OpenSSL),讓有心人士能夠趁虛而入,自伺服器中竊取大量的工作記憶體;目前雖然已經有修補方案推出,不過由於受影響的規模甚大,要完成所有伺服器的修正,恐怕需要一段時間,若加密金鑰已經被取得,那恐怕更是要花上數個月才可能處理完畢,因伺服器重設憑證不僅耗時,同時成本也相當高。

此外更有人分析,這次 HeartBleed 影響的廣度遠比蘋果 iOS 當中的 GoToFail 要大甚多,透過該漏洞,一次可以擷取工作記憶體中 64kb 的資料量,還可以跟釣魚一樣無限次重複,也因此相當有可能撈到該伺服器的私有加密金鑰(private encryption keys),一到上鉤,就可以從中攔截更多加密資料。

同時該漏洞存在的時間恐怕已經超過兩年之久,也因此有不少大小網路服務提供者受影響,包括 Yahoo(稍早他們對外公佈,大部分主要服務 Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr 及 Tumblr 已經完成 Open SSL 的修正)、Imgur、LastPass 等,蘋果、Google微軟似乎沒有在受影響名單當中,絕大部分網銀似乎也沒有中槍。(不過台灣的狀況目前還不太清楚...)

不過各位這幾天甚至往後幾個月都還是必須小心謹慎,近期最好頻繁更新密碼,若覺得自己的任何帳戶有異常狀況,最好盡快與服務提供者聯繫,如果客服知道這是怎麼一回事。

相關閱讀

延伸閱讀

回應 0

熱門文章

最新消息

本日精選