回到頂端
|||
熱門: 價值觀 虐貓案 Google

加密軟體爆漏洞 網路安全大出血

自由時報/ 2014.04.10 00:00
〔國際新聞中心/綜合報導〕芬蘭網安專家與Google研究人員7日宣布,用以保護網路安全的加密軟體OpenSSL出現安全漏洞,可能導致使用者最敏感的資訊,諸如密碼、信用卡號與銀行帳戶細節等成為駭客獵物。

由於全球3分之2的網站都使用OpenSSL,這漏洞恐將重創消費者對網路的信心,截至8日下午為止,包括雅虎、臉書、Google等大型網站已正在修復問題,或已經修復問題。

金鑰可能被駭

這種在OpenSSL軟體中名為「心臟出血」(Heartbleed)的漏洞,可讓駭客取得電腦伺服器工作記憶體上的密碼等資訊,可能危及原始碼、密碼和可被用來冒用登入網站或解鎖加密資料「金鑰」;不過駭客一次取得的記憶體不超過64kb,也無法掌控可取得哪些記憶體,到手什麼資料只能靠機率決定。

部分專家建議使用者更改網路帳戶或服務的密碼以防萬一;但也有專家建議,使用者最好還是先觀望一下再更改密碼,因為要是在尚未修復的網站修改密碼,可能只會把新密碼雙手奉上給駭客,建議使用者在做任何修改前,先查看網站是否已發布因應聲明。

漏洞已存在2年

專家表示,目前不清楚「心臟出血」影響範圍,使用者也無從得知駭客是否已透過「心臟出血」竊取資料,因為這漏洞已經存在大約2年,也就是現行版本OpenSSL發布時即已存在。美國國土安全部8日建議企業檢查伺服器,查看使用的OpenSSL版本是不是易受攻擊,OpenSSL也已發布可解決弱點的更新版本。

雅虎發言人8日證實雅虎信箱易受攻擊,但表示已修補漏洞。

社群留言