由於全球3分之2的網站都使用OpenSSL,這漏洞恐將重創消費者對網路的信心,截至8日下午為止,包括雅虎、臉書、Google等大型網站已正在修復問題,或已經修復問題。
金鑰可能被駭
這種在OpenSSL軟體中名為「心臟出血」(Heartbleed)的漏洞,可讓駭客取得電腦伺服器工作記憶體上的密碼等資訊,可能危及原始碼、密碼和可被用來冒用登入網站或解鎖加密資料「金鑰」;不過駭客一次取得的記憶體不超過64kb,也無法掌控可取得哪些記憶體,到手什麼資料只能靠機率決定。
部分專家建議使用者更改網路帳戶或服務的密碼以防萬一;但也有專家建議,使用者最好還是先觀望一下再更改密碼,因為要是在尚未修復的網站修改密碼,可能只會把新密碼雙手奉上給駭客,建議使用者在做任何修改前,先查看網站是否已發布因應聲明。
漏洞已存在2年
專家表示,目前不清楚「心臟出血」影響範圍,使用者也無從得知駭客是否已透過「心臟出血」竊取資料,因為這漏洞已經存在大約2年,也就是現行版本OpenSSL發布時即已存在。美國國土安全部8日建議企業檢查伺服器,查看使用的OpenSSL版本是不是易受攻擊,OpenSSL也已發布可解決弱點的更新版本。
雅虎發言人8日證實雅虎信箱易受攻擊,但表示已修補漏洞。