OpenSSL再曝新漏洞 专家建议尽快升级

OpenSSL再曝新漏洞 专家建议尽快升级

【TechWeb报道】6月6日消息，据国外媒体报道，信息安全专家周四指出，曾在今年4月造成互联网“心脏流血”事件的网络加密软件又曝出新漏洞。

专家指出，该漏洞通过OpenSSL加密的流量发动攻击。这与能够导致服务器直接受到攻击的“心脏流血”漏洞不同，新漏洞允许黑客秘密在两台计算机之间相互通信，但是没有像“心脏流血”一样对互联网造成严重威胁。

周四，负责对OpenSSL更新的专家小组软件更新过程中发现了这一漏洞。这次软件升级包含7个安全补丁。为避免新漏洞被黑客利用，专家建议使用OpenSSL技术的网站和科技公司尽快将系统升级至最新版本。

这一漏洞的发现者表示，当服务器和客户端都存在漏洞时，攻击者可以窃听及伪造用户的通信。

据了解，全球三分之二的网站都在使用OpenSSL技术，其中包括Facebook，亚马逊、谷歌、以及雅虎等科技巨头。成千上万的科技公司产品也都纳入了该技术，像思科、惠普、IBM、英特尔和甲骨文公司。

信息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVG Virus Labs的数据，目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息，黑客可能利用新漏洞去拦截加密流量，对其进行解密，随后阅读流量中的内容。

此外，在“心脏流血”漏洞被发现之后，包括亚马逊、思科、戴尔、谷歌、英特尔、高通和VMware在内的公司都承诺在未来3年内每年投入10万美元，用于CoreInfrastructure Initiative项目。