Heartleed帶來(lái)的傷痛還記憶猶新，這才過(guò)去幾周時(shí)間，OpenSSL 密碼庫(kù)的一個(gè)漏洞又讓全球網(wǎng)民陷入恐慌。

黑客可能利用這個(gè)漏洞披露安全連接的內(nèi)容——如密碼和信用卡交易。但更糟糕的是，另一個(gè)漏洞的發(fā)現(xiàn)帶給網(wǎng)民的恐懼如同雪上加霜，就在爆出openssl漏洞的幾周后，又爆出了OAuth和OpenID的漏洞。

據(jù)一名研究人員描述，事情還遠(yuǎn)沒(méi)有就此結(jié)束。

有幾百萬(wàn)基于Java的，以及其他開(kāi)源應(yīng)用都存在已知漏洞，有些漏洞都已經(jīng)曝出有幾年時(shí)間了，他警告稱(chēng)。甚至直到今天，仍然有人在下載這些應(yīng)用。

Sonatype的Brian Fox在周三解釋道，盡管許多項(xiàng)目都對(duì)漏洞進(jìn)行了回應(yīng)，且能迅速推出漏洞補(bǔ)丁，但問(wèn)題是用戶(hù)不會(huì)快速響應(yīng)及時(shí)下載補(bǔ)丁來(lái)修復(fù)。

“更何況，攻擊者都是通過(guò)相同機(jī)制來(lái)標(biāo)識(shí)的，即，漏洞被發(fā)現(xiàn)和修補(bǔ)后，他們就具有先動(dòng)優(yōu)勢(shì)，因?yàn)橥ǔ＠寐┒幢雀聭?yīng)用框架要容易些。，”他寫(xiě)道。

在一些案例中，成百上千受影響的常用Java應(yīng)用被數(shù)以千計(jì)的組織下載。

他說(shuō)，受影響的Struts，一款廣泛使用的應(yīng)用框架， 9個(gè)月的時(shí)間里被一萬(wàn)多個(gè)組織下載了80500次以上，而它就有一個(gè)重要的原創(chuàng)代碼執(zhí)行漏洞。

與此同時(shí)，盡管Bouncy Castle仍然是Java密碼運(yùn)算法則中最受歡迎的安全屋，但它也包含一個(gè)漏洞，攻擊者可利用這個(gè)漏洞來(lái)破壞自漏洞曝光五年內(nèi)，20000多次下載所產(chǎn)生的加密數(shù)據(jù)。據(jù)稱(chēng)，超過(guò)4千家組織正在使用有漏洞的版本。

“這等于是把你想加密的東西曝光，”他說(shuō)。

Heartbleed可能?chē)樀搅撕芏郔T組織，但Fox警告稱(chēng)，還有很多開(kāi)源應(yīng)用并沒(méi)有得到及時(shí)更新。

他暗示道，這種狀況可能導(dǎo)致另一場(chǎng)Heartbleed式的攻擊。