OpenSSL曝出“心脏流血”(Heartbleed)安全漏洞已有一个星期

尽管不少企业已为该漏洞发布补丁修复,但仍有像是运行Android4.1.1系统这样数亿计的庞大手机用户群体面临着“心脏流血”的风险。OpenSSL于4月7日公布了“心脏流血”漏洞,同天也为该漏洞给出了修复补丁。然而,运行Android 4.1.1操作系统的平板电脑和智能手机仍有数亿台,这些设备仍然曝露在OpenSSL的漏洞之下。根据谷歌公布的数据,于2012年中期发布的Android 4.1 Jellybean系统,目前仍占到其9亿Android用户的三分之一以上。虽然谷歌强调只有不足10%的激活设备容易受到“心脏流血”漏洞的攻击——这仍然意味着有成百上千万用户眼下正处于无保护状态。“设备生产商及运营商们现在需要做些什么以避免漏洞被利用,但这一过程通常是漫长的。”安全机构Lacoon Security联合创始人兼CEO迈克尔·邵洛夫(Michael Shaulov)表示。截至目前,黑客的进攻目标基本为使用OpenSSL协议的服务器站点,还没有任何个人终端设备被列为目标——因为发起这样的攻击需要进行较繁重的工作,而成果则只能是获得某一部设备上的单个用户的信息。但不管怎样,填补漏洞避免被攻击仍然是最首要的任务。譬如黑莓就已明确表示要为其Android版及iOS版BBM应用和Secure Work Space企业邮件应用提供“心脏流血”补丁。

时间: 2024-07-29 09:16:01

OpenSSL曝出“心脏流血”(Heartbleed)安全漏洞已有一个星期的相关文章

PHP7曝出三个高危0-day漏洞,还有一个仍未修复

PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站. 这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal.Joomla.Magento.vBulletin和PornHub等网站. 漏洞概况 最近,Check Point的exploit研究团队安全人员花费数个月时间,检查PHP7的反序列化机制,并发现了该机制中的"三个新的.此前未知的漏洞". 虽然此次的漏

OpenSSL 曝出重大缺陷 黑客可多次窃取数据

4月9日,据科技博客网站TechCrunch报道,过去两年来,被许多企业和服务用来加密数据的安全协议OpenSSL一直存在一个漏洞,黑客可以利用该漏洞从服务器内存中窃取64KB数据. 64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据. 更糟糕的是,即使修正了这一漏洞,但用户并不清楚自己的服务器此前是否曾遭到攻击.用户可以淘汰原有的密钥,但这只能保护用户未来不会受到利用该漏洞的攻击. 安全研究人员尼古拉斯·韦弗(Nicholas Weaver

Samba曝出7年漏洞 1行代码即可远程攻击

目前安全研究人员发布公告称,发现Samba存在一个长达7年的漏洞,攻击者仅需一行程序代码就能远端执行恶意攻击.而2010年3月发行的Samba 3.5.0以上的版本都受这个编号为CVE-2017-7494的漏洞影响.所幸该漏洞已经被紧急修复了. Samba曝出隐藏7年的漏洞 据悉,代号为HD Moore的安全研究人员在Twitter上指出,发现的Samba漏洞与此前引发WannaCry蠕虫肆虐的"永恒之蓝"有几分相似,都属于文件共享服务漏洞.不过所影响的系统不是Windows,而是Un

Heartbleed“心脏流血”漏洞已大范围修补

据Re/code网站报道,上周震惊整个互联网世界的"心脏流血" 漏洞(Heartbleed)引发了人们的恐慌.不过,最新报告显示,目前大部分网站已进行更新,修补了这一漏洞.互联网安全公司Sucuri对100万个网站进行了系统性扫描,结果显示:流量排名前1000位的网站大部分都是安全的,它们已经升级,并重新创建了认证和 密锁,其中包括谷歌.Facebook.YouTube.Pinterest.维基百科.Twitter.LinkedIn和Bing等. 不过尽管如此,用户为了保险起见还是最好

OpenSSL曝安全漏洞

近日,互联网又抛出重量级"炸弹"--OpenSSL曝出名为"Heartbleed(心脏出血)"的漏洞,黑客可利用该漏洞盗取https开头网址的账号密码信息,严重威胁网络购物.支付.社交等领域.所幸该漏洞一经曝出,就得到了大多数网站的及时补救.安全专家建议广大网友在此漏洞得到修复前,谨慎登录https网站和与支付相关操作,并在修复漏洞的第一时间及时修改密码. "影响至少两亿中国网民" "'心脏出血'漏洞可致数亿网民密码泄露!利用该漏洞,黑

OpenSSL曝重大漏洞 可导致密码被盗

[TechWeb报道]4月9日消息,今日安全协议OpenSSL被爆出现严重安全漏洞,该安全漏洞被称为 Heartbleed.漏洞被爆出可能会导致人们的账号密码.信用卡号码等个人信息失窃.OpenSSL曝重大漏洞 可导致密码被盗(TechWeb配图)据了解,OpenSSL存在的缺陷在于,使用某些最新OpenSSL版本的Web服务器会存储一些不受内存保护的数据.黑客可以获取这些数据,重建有关用户或密钥的信息,获取用户的加密数据. OpenSSL漏洞的消息一出,许多网站措手不及,未能及时采取补救措施针

黑客可利用“心脏流血”漏洞绕过VPN认证

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 新浪科技讯 北京时间4月19日上午我消息,研究人员刚刚发现了利用"心脏流血"漏洞的另外一种方式,黑客可以借此成功绕过多步认证措施,以及VPN(虚拟专用网络)的欺诈探测机制. 当OpenSSL的这一重大漏洞上周曝光后,外界对其主要危害的了解仅限于窃取用户名.密码和加密秘钥.但研究人员最近证实,该漏洞还可以用于在广泛使用的Op

美政府两年前就已利用“心脏流血”漏洞收集用户数据

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 就在"心脏流血"漏洞还让互联网公司和普通用户人心慌慌之际,彭博社又向人们扔出了一记重磅炸弹.据悉,美国国家安全局早在2012年,也就是首次发现"心脏流血"时,就已经掌握了这一漏洞信息.遗憾的是,奥巴马政府并没有及时将这一消息公布.更让人难以接受的是,政府还将这个漏洞作为自己收集.监视用户网络数据的有利武

安全专家发现新漏洞:影响或超“心脏流血”

北京时间9月25日早间消息,网络安全专家周三警告称,在 Linux系统中广泛使用的Bash软件中发现的一项安全漏洞,对电脑用户造成的威胁,可能比今年4月发现的" 心脏流血"漏洞更为严重.安全专家表示,Bash是一款在很多Unix电脑中用于控制命令提示符的软件,黑客可以借助Bash中的漏洞完全控制目标系统.美国国土安全部下属的美国电脑紧急响应团队(以下简称"US-CERT")发出警告称,这一漏洞可能影响基于Unix的操作系统,包括Linux和 苹果Mac,OS,X.网