年度最严重安全漏洞波及2亿网民1区域

年度最严重安全漏洞波及2亿民

新京报制图/陈冬

昨天，安全协议OpenSSL爆出本年度最严重的安全漏洞心脏出血。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到很多https开头址的用户登录账号密码，包括银、知名购物站、电子邮件等信息。昨天下午，国内大量站已开始紧急修复此OpenSSL高危漏洞，中国金融认证中心则发文表示，银受到的影响较少，U盾可以放心使用。

国内2亿民面临泄密风险

4月7日凌晨，国内就出现了针对OpenSSL心脏出血漏洞的黑客攻击迹象。据360站安全检测平台对国内120万家经过授权的站扫描，其中有11440个站主机受该漏洞影响。4月7日、4月8日期间，共计约2亿民访问了存在OpenSSL漏洞的站。

360安全专家石晓虹博士表示，OpenSSL此漏洞堪称络核弹，银、购、上支付、邮箱等都会受到影响。因为有很多隐私信息都存储在站服务器的内存中，无论用户电脑多么安全，只要站使用了存在漏洞的OpenSSL版本，用户登录该站时就可能被黑客实时监控到登录账号和密码。

目前还没有具体的统计数据显示这次漏洞造成多大的经济损失，但发现该漏洞的研究人员指出，当今最热门的两大络服务器Apache和nginx都使用OpenSSL。总体来看，这两种服务器约占全球站总数的三分之二。

国内站紧急修复

据悉，发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题，各大站需要尽快安装最新版OpenSSL。

昨天下午，国内大量站已开始紧急修复此OpenSSL高危漏洞，但是修复此漏洞普遍需要半个小时到一个小时时间，大型站修复时间会更长一些。

Facebook、雅虎和谷歌发言人昨天均对外表示，已经评估了SSL漏洞，并且给关键服务打上了补丁。微软发言人也表示，我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响，我们会采取必要措施保护用户。

截至发稿前，包括阿里巴巴、腾讯等多个大型互联服务商通过官微宣布，已经修复了该OpenSSL漏洞。

昨天，中国金融认证中心(CFCA)官方站挂出文章，针对OpenSSL漏洞对银的影响进行了说明，其表示，银系统均使用商业级的SSL加密设备，很少有采用类似OpenSSL这样的开源软件，因此受到的影响较少。而对于普通用户，U盾可以完全放心使用。对于不能确认的站，可通过一些免费的工具验证一下访问的站是否存在这个漏洞。如果存在此漏洞的话，先暂停访问，等待漏洞得到修复。

名词解释

OpenSSL

SSL是一种流行的加密技术，可以保护用户通过互联传输的隐私信息。SSL最早在1994年由景推出，上世纪90年代以来已经被所有主流浏览器采纳。目前该技术在各大银、支付、电商站、门户站、电子邮件等重要站上广泛使用。

当用户访问一些安全站时，会在URL地址旁看到一个锁，表明你在该站上的通讯信息都被加密。这个锁表明，第三方无法读取你与该站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。

多数SSL加密的站都使用名为OpenSSL的开源软件包。本次爆出的安全漏洞正存在于这款软件中，该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。OpenSSL大约两年前就已经存在这一缺陷。

新京报 林其玲

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。