p*3
发帖数: 197 | 1 BI中文站 6月6日报道
在OpenSSL网络加密标准中,最新又被发现了更多的严重级漏洞,而这些漏洞则出现在
恶名远扬的“心脏流血(Heartbleed)”漏洞被发现的两个月之后。
据发现这些最新OpenSSL高危漏洞的研究人员Tatsuya Hayashi向媒体宣称,这些最新发
现的OpenSSL漏洞可能比“心脏流血”漏洞更危险,因为这些最新漏洞能够被用来直接
监控设备用户的通讯情况。
“心脏流血”漏洞今年4月被发现时,就一直被业界看作是目前为止最高危的互联网漏
洞之一。OpenSSL旨在通过电子钥匙来保护用户的数据,但在最近几个月中,已经被曝
光了大量的漏洞。
最新的这些漏洞自从1998年以来就一直存在,所幸的是,在这16年的时间内,这些漏洞
一直未被从事开放源项目的付费和义务开发者发现。与此同时,据一些研究人员透露,
本周详细列出的OpenSSL一大高危漏洞也是由负责“心脏流血”漏洞的同一人士引入。
据称,黑客可以利用Hayashi发现的这些漏洞,对同一网络中的目标实施攻击,例如对
同一个公共Wi-Fi网络中的目标,黑客能够迫使被攻击PC和网络服务器之间连接点上的
加密钥匙失效。在掌控了这些加密钥匙之后,攻击者就能够拦截数据。这些攻击者甚至
还能够更改在用户和网站之间正在发送的数据,以此来诱骗被攻击用户发送出更多的敏
感信息,例如用户名和密码等,这种攻击手法被称为“中间人”攻击法。
Hayashi声称:“在公开Wi-Fi网络形势下,攻击者能够非常轻松地窃取加密通讯数据,
并改编虚假数据。被攻击者无法检测到攻击者的任何追踪行为。”
这一漏洞将会危及所未使用最新版本OpenSSL的PC和移动软件,其中包括Android手机上
的Chrome浏览器,以及搭载OpenSSL 1.0.1的服务器以及搭载OpenSSL 1.0.2测试版的服
务器。事实上,诸多网站主都将运行OpenSSL 1.0.1,因为OpenSSL 1.0.1已经修复了“
心脏流血”漏洞。不过,幸运的是,OpenSSL经营团队已经发布了相关的补丁。目前,
使用漏洞版本OpenSSL的互联网用户已经被要求安装相关的补丁,目前OpenSSL管理团队
已经公布了相关详细方案,其中包括修复OpenSSL的其它一系列漏洞在内。
据称,此次最新发现的另一款OpenSSL漏洞,能够让攻击者发送恶意程序,进而影响运
行OpenSSL的设备,从而再让这些设备泄露数据,这一漏洞也是被当初负责“心脏流血
”漏洞事务的同一开发者引入,这名开发者就是罗宾·塞格尔曼(Robin Seggelmann)。
据安全公司Rapid7的战略服务副总裁尼克·皮尔科科(Nick Percoco)称,修复
Hayashi发现的最新漏洞之工作量可能要比修复“心脏流血”漏洞的工作量大很多。
不过,谷歌(微博)安全工程师亚当·朗利(Adam Langley)在博客中称,许多受欢迎的
浏览器似乎非常安全,没有遭到攻击。他称:“非OpenSSL客户端产品(包括IE、
Firefox、台式Chrome、iOS版Chrome以及Safari等)都没有受到影响。当然,所有的
OpenSSL必须对此产品进行更新。”(悦潼)
http://tech.qq.com/a/20140606/051223.htm |
r****n
发帖数: 496 | 2 第一句话就翻译的比较外行,也有可能英文原文也是错的。 |
p***y
发帖数: 637 | 3 这么多年,都没有被开源用户发现。
【在 p*3 的大作中提到】
: BI中文站 6月6日报道
: 在OpenSSL网络加密标准中,最新又被发现了更多的严重级漏洞,而这些漏洞则出现在
: 恶名远扬的“心脏流血(Heartbleed)”漏洞被发现的两个月之后。
: 据发现这些最新OpenSSL高危漏洞的研究人员Tatsuya Hayashi向媒体宣称,这些最新发
: 现的OpenSSL漏洞可能比“心脏流血”漏洞更危险,因为这些最新漏洞能够被用来直接
: 监控设备用户的通讯情况。
: “心脏流血”漏洞今年4月被发现时,就一直被业界看作是目前为止最高危的互联网漏
: 洞之一。OpenSSL旨在通过电子钥匙来保护用户的数据,但在最近几个月中,已经被曝
: 光了大量的漏洞。
: 最新的这些漏洞自从1998年以来就一直存在,所幸的是,在这16年的时间内,这些漏洞
|
p*******m
发帖数: 20761 | 4 最新kong的ddwrt和是shibby tomato给r7000的都修复了 |
s******s
发帖数: 13035 | 5 都是同一个人植入的,你说不是NSA那是侮辱大家智商
【在 p***y 的大作中提到】
: 这么多年,都没有被开源用户发现。
|
k**********s
发帖数: 6409 | 6 我担心的是,这么多年了都“没事”,我要是patch了,会不会反而搞进一个新漏洞?
就像癌症,一检查发现,反而立马死。 |
G*****h
发帖数: 33134 | 7 patch 都有源码,那么多人帮你盯着呢
【在 k**********s 的大作中提到】
: 我担心的是,这么多年了都“没事”,我要是patch了,会不会反而搞进一个新漏洞?
: 就像癌症,一检查发现,反而立马死。
|
k**********s
发帖数: 6409 | 8
比如这些漏洞是在1.0.1引入的,以前的版本到没事,1.0.1难道不是开源的吗?没有人
盯着吗?
OpenVPN是另一个非常令人担忧的东西。几年前一家臭名昭著的公司加入了一大堆的新
code,里面肯定是漏洞无穷。所以我现在用比较老版的。
【在 G*****h 的大作中提到】
: patch 都有源码,那么多人帮你盯着呢
|
j******o
发帖数: 4219 | 9 所以说别以为开源就安全了,有时间有本事找出漏洞的人都被NSA收买了。 |
s*****m
发帖数: 13092 | 10 早几年就说了大家都可以看就是没人真去看
【在 j******o 的大作中提到】
: 所以说别以为开源就安全了,有时间有本事找出漏洞的人都被NSA收买了。
|
