受威胁的不只是网站：OpenSSL Heartbleed让PC、手机及其它设备陷入危机

ZDNET安全频道 04月11日 编译： 虽然目前大部分关于OpenSSL Heartbleed安全漏洞的争议还集中在网站以及其它服务器身上，但SANS协会提醒称运行该软件的PC、平板以及其它设备同样面临着潜在风险的威胁。

该协会分析师Jake Williams表示，这一数据泄露漏洞在严重程度方面远远超过了此前曝出的苹果加密软件问题。而且根据他的判断，黑帽组织在这项漏洞被正式发现并披露之前就已经意识到它的存在。

在昨天的介绍当中，Williams——Twitter昵称为MalwareJake——指出安装在客户机端的OpenSSL漏洞有可能受到恶意服务器的攻击，进而导致用户计算机以及移动设备的密码及加密密钥遭到泄露。

Williams指出，狡猾的攻击者能够利用一台服务器轻松向手机、笔记本、PC机、家用路由器以及其它设备上的漏洞软件发出信息，并每一次从目标系统中提取到64KB的高度敏感数据。举例来说，如果这项攻击指向的是使用公共Wi-Fi热点的用户，那么提取到的数据量将相当庞大。

编写代码以利用客户机上的这项漏洞“并不是很难实现，”他表示。

安全渗透测试人员会发现这一问题将一直“持续到2020年”，Williams指出。他同时补充称，安全工作者也很难在某些环境下准确判断这一漏洞的存在。举例来说，我们很难判断一套Windows客户端程序是否经过编译并使用存在漏洞的OpenSSL版本。

除此之外，所有“非443端口”的软件都有可能通过编译被指向存在漏洞的OpenSSL版本，其中包括电子邮件服务器、数据库以及LDAP（即轻量级目录访问协议）服务等等。

虽然我们之前已经从代码层面对Heartbleed作出了一番总结，但大家也不妨看看Williams提供的下列图表，它能够帮助大家迅速了解此次安全风暴的实质。在OpenSSL RFC当中，来自用户的两类输入内容造成了此次事件的发生，详见下图：

当攻击者将第二种信息块填写进请求并加以发送时，目标返回的结果将如下所示：

这一问题在连接协商过程中就可能发生，也正因为如此、漏洞才有可能会被未经身份难的攻击者所利用。Williams同时指出，该漏洞会给站点证书带来泄露风险，也就是说如果某位攻击者之前曾经保留过加密会话记录，那么现在他们完全有能力对这部分流量进行解密。

更糟糕的是，他指出内存泄露信息还很可能包含足以提示攻击者侵入其它软件的关键性内容，例如通过简单方式利用表面上看起来“难于侵入”的其它现有漏洞。

另一个很容易被忽略的问题来自云环境。他解释称，如果大家在云环境下运行虚拟机，那么管理员必须实际接触自己所使用的云设备、除此之外再无其它办法验证自己的代码库中是否存在Heartbleed漏洞。

用户培训也是个大问题：终端用户必须经过培训才能了解如何检查证书的发布日期，从而确保自己的受信服务（例如银行服务）已经进行过证书更新。

他还补充称，小型企业所使用的大部分VPN集中器很可能存在漏洞，而且往往由于“相关经费有限”而无法得到更新。

Williams认为供应商将成为决定事态发展的关键，因为目前几乎没有几家供应商就此发布安全漏洞声明。“绝大多数供应商都没有与客户进行沟通，”他指出。

谷歌已经对Heartbleed漏洞作出了正式回应，该公司在博文中列举了其关键性产品及服务的安全状态。CloudSQL目前已经得到修复，用户需要对运行在Google Compute Engine上的全部实例进行OpenSSL更新，而Google Search Appliance目前正处于更新过程中。根据谷歌的说法，目前只有Android 4.1.1处于风险威胁之下。

对于身处安全弱势的Android设备平台，Williams表示他将“饶有兴致”地密切关注运营商对此作出的回应。