OpenSSL曝新漏洞可被用于“中间人”攻击

本周，OpenSSL基金会发布警告称，一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。

据了解，这个新发现的OpenSSL漏洞可被用于拦截经过加密的安全套接层(SSL)和安全传输层(TLS)通讯，发动“中间人攻击”。目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息，黑客可能利用新漏洞去拦截加密流量，对其进行解密，随后阅读流量中的内容。

这一安全漏洞由日本IT咨询公司Lepidum研究员Masashi Kikuchi发现，已经在周四发布的OpenSSL 0.9.8za、1.0.0m、1.0.1h版本中进行了修复。新版软件还修复了三个拒绝服务问题以及一处当OpenSSL库被用于数据安全传输层(DTLS)连接时出现的远程代码执行漏洞。

OpenSSL的用户被建议安装新的补丁，并升级至OpenSSL软件的最新版本。与能够导致服务器直接受到攻击的“心脏流血”漏洞不同，这一新漏洞要求黑客位于两台通信的计算机之间。例如，使用机场公开WiFi的用户可能成为被攻击目标。

值得关注的是，这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。

这一漏洞在长达十几年的时间内一直没有被发现，这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的，这意味着任何人都可以对其进行评估及更新。

此外，令人欣慰的消息是，这种攻击需要中间人，非OpenSSL客户端(IE、Firefox、桌面版Chrome、iOS、Safari等)不会受到影响。尽管如此，为避免不必要的后果，建议所有OpenSSL用户都应该进行升级。