哪些人能够利用Heartbleed漏洞? “利用该漏洞对于了解它的人来说并不是很难。”费尔腾透露。利用该漏洞的软件遍布于网络上,虽然该软件没iPad应用那么好用,但任何有编程基础的人都会知道怎么使用。 当然,该漏洞也许对于拥有条件大规模拦截用户流量的情报机构而言最具价值。美国国家安全局(NSA)与美国电信服务提供商有秘密协定,它能够接入互联网干线。用户可能会认为Gmail、Facebook等网站上的SSL加密可以保护他们免受监听。但Heartbleed漏洞可让NSA获得破译私密通讯所需的私有密钥。 要是NSA已经在公众知晓之前发现Heartbleed漏洞的存在,也不会令人惊讶。鉴于OpenSSL是世界上最流行的加密软件,NSA的安全专家之前很有可能仔细研究过OpenSSL的源代码。 有多少网站受到影响? 目前还没有准确的数据,不过发现漏洞的研究人员指出,最流行的两家网络服务器Apache 和nginx均使用OpenSSL。二者加起来,共计覆盖约三分之二的网站。SSL还被其它的网络软件所使用,如桌面邮箱客户端和聊天软件。 研究人员是在几天前告知OpenSSL团队和其他的关键利益相关者漏洞情况的。因此,OpenSSL能够在将漏洞公诸于众的同时发布OpenSSL软件的修复版本。要消除漏洞,网站只需要确保它们使用的是OpenSSL最新版本。 雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站(雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修复,我们正在针对公司旗下其它的网站实施修复。” 谷歌称,“我们对SSL漏洞进行了评估,并已修复谷歌的各款主要服务。”Facebook也表示,它在漏洞公布时已经解决好该问题。 微软发言人则写道,“我们在跟进OpenSSL库问题的报告。要是确定它有对我们的设备与服务造成影响,我们会采取必要的措施来保护我们的用户。” 用户能怎么解决问题? 很遗憾,用户要是访问到采用含漏洞OpenSSL软件的网站,他们并不能保护自己。有问题的网站升级OpenSSL软件之后,用户才能够得到保护。 不过,受影响的网站修复好OpenSSL软件问题后,用户就可以通过更改自己的密码来保护自己。攻击者之前可能已经截取了用户的密码,费尔腾称用户可能无法判断他们的密码是否失窃。 |
