核心提示:黑客可实时获取用户登录账号密码,范围涉及大批网银、购物网站、电子邮件等。京东商城表示,已对系统全面排查并升级,不建议用户修改密码。据安全厂商360发布的数据显示,截至4月10日中午,OpenSSL漏洞修复比例达到71.9%,不过仍有28%的网站没有修复漏洞,存在漏洞的网站主机仍超过5000个。
现在跟中国消费者密切相关的很多网站都已经修复了漏洞,来自360的数据也显示,修复比例达到71.9%,接近80%了,修复以后大家非常关心,这就足够安全吗?我们就不需要担心了吗?
谭晓生:当然不是,其实这个漏洞最早曝出来是在7号,就是比较大范围的被人知道是7号,其实针对这个漏洞的攻击也可能在7号就开始了,而大部分的国内的大网站修复是在8号的晚上,也就是7-8号这两天,有可能会有掌握漏洞的黑客已经开始展开了攻击。网站的数据就是用户的数据有可能已经开始泄露了,如果保险起见,其实最好是7、8号这两天使用过网银或者使用过在线交易平台或者是登录过一些需要登录密码的网站,现在的做法最好是确认这个网站已经修复了这个漏洞。在确认这个站已经修复漏洞的前提下,最好把密码改一下。
这次的漏洞还不能算过去,这个漏洞的更深层的利用方法,或者是波及到的其他一些系统,安全专家们还在分析的过程中,目前看起来可能会影响到更大的范围,除了这些网站之外,还包括一些邮件的客户端,甚至可能还会涉及到一些手机的应用程序,波及面可能会比较大。这次的漏洞的影响可能比大家原来预想的要深远的多,大家可能一方面还要关注一下最近的媒体,有安全的通道大家肯定会通过媒体发布出来,同时也要积极参加一些自查,查一下你有没有用OpenSSL1.0.1这个版本,以及哪怕是买的硬件设备,要去看一下设备厂商有没有安全公告出来,就是说你的设备有没有受影响。第二个,像这些大站的用户现在修改密码是一个必备的东西,随着漏洞进一步找出来,可能还有进一步的动作,随着这个漏洞的挖掘,下一步会有公告出来。
当时谷歌和另外的安全研究部门人员发现了这个漏洞的存在,其实他们如果不提这件事的时候,可能黑客大部分人都不知道,是不是因为他们把这个方案过早公之于众,让很多黑客可能利用这两天的机会在各大电商做修补之前进行攻击?
谭晓生:这是一个很两难的话题,如果他不公布的话就没有人去修补,其实即使在小范围之内,知道的这些黑客会持续不断发起攻击,最后还是有损失。公布的话可能会造成短时间的危机,但是会让大家在比较快的时间内把这个漏洞修补掉。这个问题在安全圈里面大家的意见也不一致,是有争议的,比如我公布这个漏洞的时候,应该多长时间公布攻击代码等等这些问题是有争论的,但其实没有什么特别完美的解释,有时候你可能给别人说了一下,说下边有一个漏洞,那么其他的安全人员或者黑客就有办法能够找出攻击的方法,他能自己写出攻击的代码。
| 上一页 | 1 | 2 | 3 | 下一页 | 单页阅读 |
责任编辑:wb001
查看心情排行你看到此篇文章的感受是:
版权声明
凡注明来源为"中津网"的所有文字、图片、音视频、美术设计和程序等作品,版权均属中津网或相关权利人专属所有或持有所有。未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。否则以侵权论,依法追究相关法律责任。
