OpenSSL 曝出重大缺陷 黑客可多次竊取數據

4月9日，據科技博客網站TechCrunch報道，過去兩年來，被許多企業和服務用來加密數據的安全協議OpenSSL一直存在一個漏洞，黑客可以利用該漏洞從服務器內存中竊取64KB數據。

64KB數據量并不大，但黑客可以重復利用該漏洞，多次竊取數據，并可能因此獲得用戶的加密密鑰，解密敏感數據。

更糟糕的是，即使修正了這一漏洞，但用戶并不清楚自己的服務器此前是否曾遭到攻擊。用戶可以淘汰原有的密鑰，但這只能保護用戶未來不會受到利用該漏洞的攻擊。

安全研究人員尼古拉斯·韋弗(Nicholas Weaver)表示，“我認為，未來一年內仍然會有大量服務器存在該漏洞，漏洞不會得到及時修正。”

雅虎在一份聲明中表示，“最近，一個名為Heartbleed的漏洞被發現影響許多使用OpenSSL的平臺，其中包括我們的平臺。得知這一消息 后，我們立即著手修正這一漏洞。我們的團隊已經成功地在公司主要服務中采取了恰當的修正措施，目前正在修正存在于其他服務中的這一漏洞。我們一直致力于為 全球用戶提供盡可能安全的體驗，我們將不斷努力，確保用戶數據的安全。”

編者注：用戶可使用下面這個網址來檢查自己的網站是否存在該漏洞。

http://possible.lv/tools/hb/?domain=git.oschina.net