“心脏出血”漏洞可导致密码泄露

简介:

10日,安全人员又发现了Heartbleed漏洞的踪迹,利用该漏洞的攻击者可获取用户密码,并诱使用户访问伪造的网站。

PS.

Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一个重大安全漏洞,2014年4月7号,由国外黑客曝光。该漏洞可以让攻击者获得服务器上64K内存中的数据内容。由于使用OpenSSL的源代码的网站数量巨大,因此该漏洞影响十分严重。

OpenSSL是一个强大的安全套接字层密码库,包括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

漏洞详情

该漏洞存在于OpenSSL中,可以泄露服务器的内存内容,其中包含大量主机托管数据等敏感信息,如用户名、密码和信用卡号码等。另外,攻击者还可以复制服务器的数字密钥,随后伪造服务器或解密通信。

安全人员RonaldPrins对雅虎网站进行测试证实,攻击者可以借助Heartbleed漏洞获取用户名和密码。Scott Galloway发表推文称,运行5分钟的Heartbleed代码就可以获取200对雅虎邮箱的用户名和密码。

解决方案

雅虎称已在其主网站上修复了该漏洞,其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外,其安全团队正在其余网站上实现该修复。但是,雅虎还没有为用户提供相关的安全建议。

加密技术顾问FilippoValsorda研发了一种工具,可供用户在网站中检测Heartbleed漏洞。目前已检测到Google、Microsoft、Twitter、Facebook、Dropbox等主流网站不受该漏洞影响,而有一些网站如Imgur、OKCupid和Eventbrite等受该漏洞影响。

根据OpenSSL发布的公告,该漏洞影响OpenSSL 1.0.1版本和1.0.2-beta版本,并且已经发布了1.0.1g版本修复该漏洞。网络运营商需要升级该软件,并撤销可能已经被攻击者控制的证书。

原文发布时间为:2016-04-14

本文作者:FreeBuf

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。


相关文章
|
安全 数据安全/隐私保护
黑客能篡改WiFi密码,源于存在漏洞
随着社会的快速发展,城市中的无线网络遍布各处,如,首先是自家,一般都会接入光纤网络,然后是出行的交通工具汽车,火车,飞机等,或者是公园广场,商场,酒店等都是存在着无线网络,而且有一些无线网络是免密码连接就可以用的,那么它们是否存在安全问题呢?黑客会盯上WiFi网络吗?答案是会的。
1480 0
|
安全 Android开发
研究称Android内核存在漏洞 黑客可窃取电邮
北京时间11月1日消息,据国外媒体报道,Coverity通过研究发现,Android智能手机操作系统内核存在漏洞,部分漏洞可以被黑客用来窃取用户的电子邮件和其他敏感信息。 Coverity是在宏达电Droid Incredible手机的Android中发现这些漏洞的,但表示,其他Android手机也可能存在相同的漏洞。
660 0
|
Web App开发 安全
警惕潜伏的“窥秘者”木马盗取用户私密信息
卡巴斯基实验室最近检测到一种名为“窥秘者”木马(Trojan.Win32.Agent.cgjo)的恶意软件。 该木马采用Upack加壳,一般通过网页挂马等方式感染用户计算机。它感染用户计算机后,会释放一些恶意程序到用户磁盘并运行,同时删除自身,使用户不易察觉到已经感染恶意软件。
1084 0
|
安全
黄雀在后: 安全工具“面部照”能秘密拍下入侵你的黑客
本文讲的是 黄雀在后: 安全工具“面部照”能秘密拍下入侵你的黑客,许多人都接到过这样的一封电子邮件,“某人试图登录您的账户……”你是否有过这种经历并百思不得其解:到底是谁要对我这么干呢?
1324 0