“心脏出血”漏洞可导致密码泄露

10日，安全人员又发现了Heartbleed漏洞的踪迹，利用该漏洞的攻击者可获取用户密码，并诱使用户访问伪造的网站。

PS.

Heartbleed漏洞（CVE-2014-0160，CNNVD-201404-073）是OpenSSL中的一个重大安全漏洞，2014年4月7号，由国外黑客曝光。该漏洞可以让攻击者获得服务器上64K内存中的数据内容。由于使用OpenSSL的源代码的网站数量巨大，因此该漏洞影响十分严重。

OpenSSL是一个强大的安全套接字层密码库，包括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

漏洞详情

该漏洞存在于OpenSSL中，可以泄露服务器的内存内容，其中包含大量主机托管数据等敏感信息，如用户名、密码和信用卡号码等。另外，攻击者还可以复制服务器的数字密钥，随后伪造服务器或解密通信。

安全人员RonaldPrins对雅虎网站进行测试证实，攻击者可以借助Heartbleed漏洞获取用户名和密码。Scott Galloway发表推文称，运行5分钟的Heartbleed代码就可以获取200对雅虎邮箱的用户名和密码。

解决方案

雅虎称已在其主网站上修复了该漏洞，其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外，其安全团队正在其余网站上实现该修复。但是，雅虎还没有为用户提供相关的安全建议。

加密技术顾问FilippoValsorda研发了一种工具，可供用户在网站中检测Heartbleed漏洞。目前已检测到Google、Microsoft、Twitter、Facebook、Dropbox等主流网站不受该漏洞影响，而有一些网站如Imgur、OKCupid和Eventbrite等受该漏洞影响。

根据OpenSSL发布的公告，该漏洞影响OpenSSL 1.0.1版本和1.0.2-beta版本，并且已经发布了1.0.1g版本修复该漏洞。网络运营商需要升级该软件，并撤销可能已经被攻击者控制的证书。