4月9日,据科技博客网站TechCrunch报道,过去两年来,被许多企业和服务用来加密数据的安全协议OpenSSL一直存在一个漏洞,黑客可以利用该漏洞从服务器内存中窃取64KB数据。
64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。
更糟糕的是,即使修正了这一漏洞,但用户并不清楚自己的服务器此前是否曾遭到攻击。用户可以淘汰原有的密钥,但这只能保护用户未来不会受到利用该漏洞的攻击。
安全研究人员尼古拉斯·韦弗(Nicholas Weaver)表示,“我认为,未来一年内仍然会有大量服务器存在该漏洞,漏洞不会得到及时修正。”
雅虎在一份声明中表示,“最近,一个名为Heartbleed的漏洞被发现影响许多使用OpenSSL的平台,其中包括我们的平台。得知这一消息后,我们立即着手修正这一漏洞。我们的团队已经成功地在公司主要服务中采取了恰当的修正措施,目前正在修正存在于其他服务中的这一漏洞。我们一直致力于为全球用户提供尽可能安全的体验,我们将不断努力,确保用户数据的安全。”
编者注:用户可使用下面这个网址来检查自己的网站是否存在该漏洞。
文章转载自开源中国社区 [http://www.oschina.net]
