北京時(shí)間6月6日消息，本周四，OpenSSL基金會(huì)發(fā)布警告稱，一個(gè)已存在10年的漏洞可能導(dǎo)致黑客利用通過OpenSSL加密的流量發(fā)動(dòng)“中間人”攻擊。

信息安全專家目前仍試圖解決OpenSSL加密協(xié)議中的“心臟流血”漏洞。根據(jù)AVG Virus Labs的數(shù)據(jù)，目前仍有1.2萬個(gè)熱門域名存在這一漏洞。而根據(jù)OpenSSL基金會(huì)此次發(fā)布的消息，黑客可能利用新漏洞去攔截加密流量，對其進(jìn)行解密，隨后閱讀流量中的內(nèi)容。

OpenSSL的用戶被建議安裝新的補(bǔ)丁，并升級(jí)至OpenSSL軟件的最新版本。這一漏洞的發(fā)現(xiàn)者是軟件公司Lepidum的日本研究員Masashi Kikuchi。Lepidum的網(wǎng)站上顯示：“當(dāng)服務(wù)器和客戶端都存在漏洞時(shí)，攻擊者可以竊聽及偽造你的通信。”

與能夠?qū)е路?wù)器直接受到攻擊的“心臟流血”漏洞不同，這一新漏洞要求黑客位于兩臺(tái)通信的計(jì)算機(jī)之間。例如，使用機(jī)場公開WiFi的用戶可能成為被攻擊目標(biāo)。

這一漏洞自1998年OpenSSL首次發(fā)布以來就一直存在。而“心臟流血”漏洞是在2011年新年OpenSSL進(jìn)行升級(jí)時(shí)引入的。

這一漏洞在長達(dá)十幾年的時(shí)間內(nèi)一直沒有被發(fā)現(xiàn)，這再次表明了OpenSSL管理的缺陷。OpenSSL是開源的，這意味著任何人都可以對其進(jìn)行評(píng)估及更新。由于這一原因，OpenSSL被認(rèn)為比某家公司開發(fā)的私有代碼更安全、更可信。

但實(shí)際上，OpenSSL在歐洲只有1名全職開發(fā)者，以及3名“核心”的志愿程序員，其運(yùn)營依靠每年2000美元的捐贈(zèng)。不過，OpenSSL仍被用于加密全球大部分網(wǎng)站的服務(wù)器，并被亞馬遜和思科等大公司廣泛使用。

在“心臟流血”漏洞被發(fā)現(xiàn)之后，包括亞馬遜、思科、戴爾、Facebook、富士通、谷歌、IBM、英特爾、微軟、NetApp、Rackspace、高通和VMware在內(nèi)的公司都承諾在未來3年內(nèi)每年投入10萬美元，用于Core Infrastructure Initiative項(xiàng)目。這一新的開源項(xiàng)目由Linux基金會(huì)牽頭，用于支撐OpenSSL等關(guān)鍵的開源基礎(chǔ)設(shè)施。(維金)