心脏出血都有哪些“出血点”

更新时间:2024-01-13 作者:用户投稿原创标记本站原创 点赞:20868 浏览:94839

4月3日,谷歌安全专家提交了一份针对OpenSSL漏洞的报告,随后于4月7日,OpenSSL宣布有多个版本存在严重内存处理错误,“心脏出血漏洞”浮出水面令世界哗然.据悉国内一些、社交网络、电商等网站也都受到冲击,约2亿中国网民受影响.虽然各大网站基本上已完成修复,但是这一漏洞于2011年就已渗入OpenSLL中,也就是说这几年来我们一直处于风险之中.我们一度信任的Web怎么写作器、路由器、虚拟机、VPN,甚至客户端软件等都不安全了,即使个人系统上的安全做得再好,也难逃信息泄露的可能.

什么是心脏出血漏洞

心脏出血漏洞可以导致受影响设备中的内存数据溢出,利用此漏洞便可以获取随机溢出的64KB“心跳信号”的数据,这些数据中可能包括、加密私钥、网站Cookie等敏感信息.虽然每次只能取得64KB数据,但是攻击者可以保持连接,这样就可以一次次取得新的数据.

心脏出血漏洞刚开始是在Web怎么写作器上被,其后波及到思科、瞻博网络,以及虚拟机VMware、私人网络软件OpenVPN等.现在还不清楚Oracle软件是否也受影响,而且可能已扩展到路由器、手机等其他设备上.

小知识:心跳信号

双方互联的时候,其中一方每隔一段时间就发送一个数据包给另一方,另一方收到数据包后再确定是否回复.这一机制主要是为了确认在长时间不通讯时,探测双方是否还都在线.因为发送的数据包很小,而且固定频率发送很像心脏的搏动,因此取了这么一个形象的名称.

反向心脏出血

心脏出血不只威胁到怎么写作器端,同样危及到客户端程序.一家名为Meldium的账户和保护软件公司的负责人表示,此漏洞还可以“反向出血”,套取用户的资料.比如一些恶意网站伪装成正规网站诱骗你访问,然后在你访问时这些恶意网站有可能主动发送心跳请求,如果你使用的浏览器程序(或其他客户端)使用了有缺陷版本的OpenSSL库,那么就会反过来将你内存中溢出的数据发送到恶意网站的怎么写作器上,从而导致信息泄露.

Meldium公司还创建了一个网站,用来在线检测用户所使用的客户端是否存在反向心脏出血漏洞.该网页上有一段说明,“许多组织机构具有发起出站SSL连接的主机(自动更新、获取图像、连接Webhook等),这些主机又往往位于防火墙内部,并且因为具有单独的基础架构而依赖不同的SSL,从而很容易遭受反向心脏出血的攻击.”

这家网站列出了易受攻击的客户端,包括传统客户端和开放写作技巧.

★传统客户端,包括浏览器,使用HTTPAPI的应用程序,通过DVD运行的程序(如Office办公软件),以及iOS和Android上的应用.如果还没有更新OpenSSL,它们很可能受到影响.

★开放写作技巧,指可以被攻击者远程控制的客户端,如社交网络、Dropbox之类的网络共享应用、网页抓取程序等.

一些流行的社交网络的安全性虽然很强大,但是它们的界面却有被利用的漏洞,开放写作技巧可以恶意地诱使你输入某个,这种欺骗需要一段时间才能发现.用户往往只盯着怎么写作器的安全,对自身的安全漏洞则关注较少.

小心路由器漏洞

公共及私有网络中的路由器,包括家庭使用的路由器,同样容易被攻破.思科多达65种路由器产品已确认含有心脏出血漏洞,其他产品还在评估中.思科公司最受欢迎的产品,包括WebexMessenger、Jabberclient、CiscoIOSXR、TelepresenceSystem1100、VideoSurveillanceMediaServerSoftware和UnifiedOperationsManager,都被认为易受攻击.

思科发布警报称,“多款思科产品含有心脏出血漏洞,一些未经身份验证的远程攻击者可能会连接到客户端或怎么写作器上,窃取内存中多段64KB的数据.”

瞻博网络也提醒相关产品的用户受到威胁,不过需要登录账户才能获取信息.

心脏出血漏洞带来的反思

只要具有漏洞的OpenSSL版本仍在使用,它的危害就不会停止.现在修订版的OpenSSL已经发布了,但必须部署才能起作用.操作系统供应商及其分销商、家电销售商、独立软件供应商都应该采用这个修复的版本,并且及时通知到用户.

阿姆特尔公司首席执行官PJGupta表示,“每家相关的公司都必须修复它,并且一旦修复了代码,就需要及时更换.”不过这样就足够了吗?软件开发者DeWiner不这么认为,他在博客中写道,“很难想象还有更糟糕的事情正在发生,我觉得我们反应得太慢了.如果这是一个单一的系统受损,正确的做法应该是立即下线,直到修复并验证所有的连接点,确认安全后再重新上线.而这样一边修复一边继续使用网络,实际是很危险的事情.”


对于个人用户来对,我们无力抵挡心脏出血漏洞,现在唯一能做的,就是关注自己所使用的网站怎么写作商是否已升级OpenSSL,然后及时修改自己的账户.对于还未修复的网站,最好的方法就是不要登录.