在OpenSSL網絡加密標準中，最新又被發現了更多的嚴重級漏洞，而這些漏洞則出現在惡名遠揚的“心臟流血（Heartbleed）”漏洞被發現的兩個月之后。據發現這些最新OpenSSL高危漏洞的研究人員Tatsuya Hayashi向媒體宣稱，這些最新發現的OpenSSL漏洞可能比“心臟流血”漏洞更危險，因為這些最新漏洞能夠被用來直接監控設備用戶的通訊情況。

“心臟流血”漏洞今年4月被發現時，就一直被業界看作是目前為止最高危的互聯網漏洞之一。OpenSSL旨在通過電子鑰匙來保護用戶的數據，但在最近幾個月中，已經被曝光了大量的漏洞。

最新的這些漏洞自從1998年以來就一直存在，所幸的是，在這16年的時間內，這些漏洞一直未被從事開放源項目的付費和義務開發者發現。與此同時，據一些研究人員透露，本周詳細列出的OpenSSL一大高危漏洞也是由負責“心臟流血”漏洞的同一人士引入。

據稱，黑客可以利用Hayashi發現的這些漏洞，對同一網絡中的目標實施攻擊，例如對同一個公共Wi-Fi網絡中的目標，黑客能夠迫使被攻擊PC和網絡服務器之間連接點上的加密鑰匙失效。在掌控了這些加密鑰匙之后，攻擊者就能夠攔截數據。這些攻擊者甚至還能夠更改在用戶和網站之間正在發送的數據，以此來誘騙被攻擊用戶發送出更多的敏感信息，例如用戶名和密碼等，這種攻擊手法被稱為“中間人”攻擊法。

Hayashi聲稱：“在公開Wi-Fi網絡形勢下，攻擊者能夠非常輕松地竊取加密通訊數據，并改編虛假數據。被攻擊者無法檢測到攻擊者的任何追蹤行為。”

這一漏洞將會危及所未使用最新版本OpenSSL的PC和移動軟件，其中包括Android手機上的Chrome瀏覽器，以及搭載OpenSSL 1.0.1的服務器以及搭載OpenSSL 1.0.2測試版的服務器。事實上，諸多網站主都將運行OpenSSL 1.0.1，因為OpenSSL 1.0.1已經修復了“心臟流血”漏洞。不過，幸運的是，OpenSSL經營團隊已經發布了相關的補丁。目前，使用漏洞版本OpenSSL的互聯網用戶已經被要求安裝相關的補丁，目前OpenSSL管理團隊已經公布了相關詳細方案，其中包括修復OpenSSL的其它一系列漏洞在內。

據稱，此次最新發現的另一款OpenSSL漏洞，能夠讓攻擊者發送惡意程序，進而影響運行OpenSSL的設備，從而再讓這些設備泄露數據，這一漏洞也是被當初負責“心臟流血”漏洞事務的同一開發者引入，這名開發者就是羅賓·塞格爾曼（Robin Seggelmann）。

據安全公司Rapid7的戰略服務副總裁尼克·皮爾科科（Nick Percoco）稱，修復Hayashi發現的最新漏洞之工作量可能要比修復“心臟流血”漏洞的工作量大很多。

不過，谷歌安全工程師亞當·朗利（Adam Langley）在博客中稱，許多受歡迎的瀏覽器似乎非常安全，沒有遭到攻擊。他稱：“非OpenSSL客戶端產品（包括IE、Firefox、臺式Chrome、iOS版Chrome以及Safari等）都沒有受到影響。當然，所有的OpenSSL必須對此產品進行更新。”

河南億恩科技股份有限公司(www.laynepeng.cn)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900