據(jù)新京報消息，9 日，安全協(xié)議OpenSSL 爆出本年度最嚴重的安全漏洞“心臟出血”。利用該漏洞，黑客坐在自己家里電腦前，就可以實時獲取到很多https 開頭網(wǎng)址的用戶登錄賬號密碼，包括網(wǎng)銀、知名購物網(wǎng)站、電子郵件等信息。

     2億網(wǎng)民面臨泄密風險

     4 月7 日凌晨，國內(nèi)就出現(xiàn)了針對OpenSSL“心臟出血”漏洞的黑客攻擊跡象。據(jù)360 網(wǎng)站安全檢測平臺對國內(nèi)120 萬家經(jīng)過授權(quán)的網(wǎng)站掃描，其中有11440 個網(wǎng)站主機受該漏洞影響。4 月7 日、4 月8 日期間，共計約2 億網(wǎng)民訪問了存在OpenSSL漏洞的網(wǎng)站。

     360 安全專家石曉虹博士表示，此OpenSSL 漏洞堪稱“網(wǎng)絡核彈”，網(wǎng)銀、網(wǎng)購、網(wǎng)上支付、郵箱等都會受到影響。因為有很多隱私信息都存儲在網(wǎng)站服務器的內(nèi)存中，無論用戶電腦多么安全，只要網(wǎng)站使用了存在漏洞的 OpenSSL 版本，用戶登錄該網(wǎng)站時就可能被黑客實時監(jiān)控到登錄賬號和密碼。

     目前還沒有具體的統(tǒng)計數(shù)據(jù)顯示這次漏洞造成多大的經(jīng)濟損失，但發(fā)現(xiàn)該漏洞的研究人員指出，當今最熱門的兩大網(wǎng)絡服務器 Apache 和nginx 都使用OpenSSL。總體來看，這兩種服務器約占全球網(wǎng)站總數(shù)的三分之二。

     國內(nèi)網(wǎng)站緊急修復

     據(jù)悉，發(fā)現(xiàn)該漏洞的研究人員幾天前就已經(jīng)通知OpenSSL 團隊和重要的利益相關(guān)者。這讓 OpenSSL 得以在漏洞公布當天就發(fā)布了修復版本。為了解決該問題，各大網(wǎng)站需要盡快安裝最新版 OpenSSL。

     9 日下午，國內(nèi)大量網(wǎng)站已開始緊急修復此OpenSSL高危漏洞，但是修復此漏洞普遍需要半個小時到一個小時時間，大型網(wǎng)站修復時間會更長一些。

     Facebook、雅虎和谷歌發(fā)言人均對外表示，已經(jīng)評估了SSL 漏洞，并且給關(guān)鍵服務打上了補丁。微軟發(fā)言人也表示，“我們正在關(guān)注OpenSSL 問題的報道。如果確實對我們的設備和服務有影響，我們會采取必要措施保護用戶�！�

     近日，中國金融認證中心（CFCA）官方網(wǎng)站掛出文章，針對 OpenSSL 漏洞對網(wǎng)銀的影響進行了說明，其表示，網(wǎng)銀系統(tǒng)均使用商業(yè)級的SSL 加密設備，很少有采用類似OpenSSL這樣的開源軟件，因此受到的影響較少。而對于普通用戶，U盾可以完全放心使用。對于不能確認的網(wǎng)站，可通過一些免費的在線工具驗證一下訪問的網(wǎng)站是否存在這個漏洞。如果存在此漏洞的話，先暫停訪問，等待漏洞得到修復。

     名詞解釋 OpenSSL

     SSL 是一種流行的加密技術(shù)，可以保護用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。目前該技術(shù)在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。

     當用戶訪問一些安全網(wǎng)站時，會在URL 地址旁看到一個“鎖”，表明你在該網(wǎng)站上的通訊信息都被加密。這個“鎖”表明，第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺，通過SSL 加密的數(shù)據(jù)只有接收者才能解密。

     多數(shù)SSL 加密的網(wǎng)站都使用名為OpenSSL 的開源軟件包。本次爆出的安全漏洞正存在于這款軟件中，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的OpenSSL 服務器內(nèi)存中長達64K 的數(shù)據(jù)。 OpenSSL 大約兩年前就已經(jīng)存在這一缺陷。