三分之一服务器完成修补互联网心脏失血趋于可控

字号:小大 2014-04-11 15:13

核心提示：4月8日，常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞，众多使用https的网站均受影响，大量用户信息陷于“裸奔”，引发网民恐慌。记者采访了解到，在网站和安全厂商的协作下，三分之一受影响的网站已完成修复，使众多网友陷入恐慌的“心脏失血”正趋于可控。

4月8日，常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞，众多使用https的网站均受影响，大量用户信息陷于“裸奔”，引发网民恐慌。记者采访了解到，在网站和安全厂商的协作下，三分之一受影响的网站已完成修复，使众多网友陷入恐慌的“心脏失血”正趋于可控。

互联网被曝“心脏出血”

4月8日，网络安全协议OpenSSL被曝存在堪称“心脏出血”的高危漏洞。

据了解，SSL是一种加密技术，可以保护用户通过互联网传输的隐私信息。据悉，目前多数SSL加密的网站都是用名为OpenSSL的软件包，此次OpenSSL被曝的漏洞可以让攻击者获得服务器上64K内存中的数据，其中可能包括安全证书、用户名和密码等敏感信息。

关于此次漏洞的严重性，北京知道创宇信息技术有限公司研究部总监余弦表示，OpenSSL协议常用于安全性极高的网站，此漏洞一旦被恶意利用，用户登录这些电商、网银的账户、密码等关键信息都将面临泄露风险。

余弦告诉记者，大量使用https的网站将受到影响，而且越是知名的大网站，越容易受到不法分子攻击。监测发现，在中国境内的160余万台服务器中，有33303台受到这一漏洞影响，尽管占比不大，但这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱这些最重要的网络服务器中，其影响范围包括常用的网银及诸多知名网站，微信、支付宝、陌陌等均在其列。

业内人士：部分信息已经被窃

南京翰海源信息技术有限公司创始人方兴表示，此漏洞并不是因为算法被攻破，而是由于程序员在设计时没有做长度检查而产生漏洞，其危害性不容小觑。

余弦告诉记者，该漏洞并不一定导致用户数据泄露，因为该漏洞只能从内存中读取64K的数据，而重要信息正好落在这个可读取的64K中的几率并不大，但是攻击者可以不断批量地去获取最新的64K记录，这样就可以得到尽可能多的用户隐私信息。

目前看来，该漏洞确已被很多黑客利用。网络安全领域资深人士透露，由于OpenSSL漏洞的出现，在8日、9日地下交易市场中，各种兜售非法数据的交易显得异常火爆。

三分之一服务器完成修补

面对“地震级”漏洞，各网站和安全厂商均采取紧急措施，目前整体形势已趋于可控。

知道创宇公司持续在线监测情况显示，大部分公司已有所行动，如360、百度等公司在升级OpenSSL，微信已暂停SSL服务，有的网站为规避风险，干脆暂停全部服务。

据了解，截至9日晚，国内12305铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。

知道创宇公司工作人员表示，由于这些大的互联网厂商和运营商服务器比较多，他们一修补，我国受到影响的服务器三分之一已完成了修补，整体情况趋于可控。

Tags：网站漏洞三分之一互联网修补