已有駭客成功藉由「心在淌血」(Heartbleed)取得伺服器金鑰

by Casper
2014.04.13 10:25AM
是最新 OpenSSL 漏洞讓網路服務商「內心淌血」...這篇文章的首圖

圖片引用來源HeartBleed OpenSSL 漏洞說明網頁原文引用來源:The Verge(已確認 SSL 金鑰有被盜取風險傳 NSA 早已知道漏洞存在多時)、Cloudflare 挑戰頁面

早先 Cloudflare 這家雲端 CDN 代理商跳出來,宣稱 OpenSSL 軟體漏洞「心在淌血」(Heartbleed)可能不會造成如此大的影響,因為他們家在經過兩週的測試後,並無法從中取得網頁伺服器的私有 SSL 金鑰,於是下結論表示要取得金鑰,理論上應該是不太可能的,隨後甚至在網路上對白帽駭客社群下戰書,最終結果則是...被打臉了 有人成功了,目前至少有兩名白帽駭客(Fedor Indutny 及 Ilkka Mattila)成功取得金鑰。

這樣的結果不僅代表 Cloudflare 的判斷是錯誤的,另一方面也顯示「心在淌血」確實相當有可能會造成很多問題,而若金鑰遭竊,網路服務提供者就必須更新安全憑證,才有辦法阻止有心人士進一步竊取個資、密碼。

另外稍早《彭博社》(Bloomberg)指出美國國家安全局(NSA)早就知道「心在淌血」的存在,並且已經利用其來進行監控相當長一段時間,但隨即被 NSA 否認,表示他們也是看了報紙才知道的 NSA 方面表示他們在「心在淌血」公開後,才知道這個漏洞的存在。

相關閱讀

延伸閱讀

相關消息

開箱評測
全能AI筆電GIGABYTE AERO X16開箱實測:外型質感設計,搭配強勁性能,成為電競玩家、創作者與專業工作者的全能夥伴!
癮特務
3 天前
遊戲天堂
FCC電檢照片顯示華碩將推出一黑一白兩款ROG Ally 2電競掌機,增強握柄人體工學、黑色機型可能為Xbox認證機型
Chevelle.fu
1 個月前
在地生活
吉伊卡哇廠商限定圖片外流 日方決定取消台灣訂單
討喜小姐
1 個月前
產業消息
Sony WH-1000XM6、WF-1000XM5兩款旗艦無線耳機更新韌體,藍芽連接模式新增基於LE Audio的低延遲選項
Chevelle.fu
2 天前
開箱評測
Cooler Master NCORE 100 Air直立式ITX風冷機殼評測,超小占地面積能容高規格系統的精緻機殼
Chevelle.fu
1 個月前
產業消息
Sony將在5月13日公布Xperia 1 VII,首支預告聚焦Alpha相機技術
Chevelle.fu
1 個月前
開箱評測
不想要耳塞 Sony無線降噪耳機折590元 平價降噪耳罩式耳機可選它
Tandee
1 個月前
產業消息
三星旗下HARMAN收購持有B&W、天龍馬蘭士的Sound United
Chevelle.fu
1 個月前
關於android播放3gp內含AAC無法撥放問題
hanawa
15 年前