技术:“心脏出血”漏洞突袭2亿中国读者

本篇文章1327字，读完约3分钟

顺便说一下

还是这周好

手田后

危机在世界范围内爆发

sl是1990年最先推出的网络场景( n etscape )，是20世纪90年代以来面向主流浏览器的，大部分s s l加密网站都是基于o penssl的开源包。

暴露的o penssl是为互联网通信提供安全和数据完整性的安全协议，涵盖了主要的加密算法、一般密钥和证书的封装管理功能、ssl协议，包括网络银行、在线支付

本周，美国研究人员宣布，该软件存在导致顾客通信副本泄漏的重要漏洞。 更致命的是，o penssl有这种漏洞。 这大约两年了。 利用这一漏洞，黑客可以坐在家里的电脑前，实时获取许多https开头网站上的客户登录帐户的密码。 这包括大量的网上银行、知名购物网站和电子邮件等。

具体来说，ssl标准包括心跳选项，ssl连接的计算机发出短消息，确认另一台计算机还在线，并得到反馈。 但是研究者们发现，恶意心跳新闻可以用其他手段传播，欺骗对面的电脑泄露机密消息。 受影响的计算机可能会被骗，并发送服务器内存的消息。

李铁军告诉南都记者，一般来说，如果对利用脆弱性的技术要求高的话，顾客和公司受到的影响就会变小。 但是，这次的脆弱性有两个优点。 一是最重要的顾客新闻，容易导致财产损失。 二是他对技术的要求很低，可用性非常好。 因为这场危机瞬间在世界范围内爆发了。

上述顶级“白帽”告诉南都记者，脆弱性首次暴露后，这几天，国内各网站深夜开始大规模修复升级，“白帽”也在测试脆弱性的影响。 除此之外的黑客也在加速利用脆弱性监听新闻。

受影响的网站数量是多少？

区分一个网站是否对这项服务有用有两种简单的方法。 一个是网站的开头是否显示https，另一个是u r l的左侧是否有“锁”图标。

自从这种脆弱性爆发以来，全世界的黑客和安全专家们展开了激烈的竞争。 截至昨天下午6点，zoom eye系统扫描的数据显示，受中国影响的大车站有12306个站点、微信公共平台、qqq邮箱、支付宝( Alipay )、淘宝网、知己、Yahoo、比特币中国

除此之外，y y某服务也受到了这次漏洞的影响，但修复尚未完成。

o发表声明称，由于o penssl的脆弱性涌向网络安全界，多个网站也没有受到影响。 小金融服务集团(采购)首席风险负责人胡晓明昨天出席公开活动时表示，经过一夜的加班阿里系统已经完成修复，风险不存在了。 京东(滚动信息)方面向南表示，前天早些时候收到了openssl h eartbleed的漏洞相关情况，进行了全面的故障诊断，昨天完成了修补解决。 百度方面说，百度钱包没有受到这次暴风雨的影响。

采录:南都记者谢和实习生黄春惠

要点

专家建议在1-2天后登录系统更改密码

李铁军建议，由于o penssl的脆弱性与客户端无关，因此在顾客向服务端提供新闻的过程中，黑客可以利用脆弱性从服务器存储器中窃取64k b的数据。 他建议首先注意客户使用服务时是否与https的开头有关，如果是这个开头，则采用o penssl协议，此时登录网站不要更改密码。 恐怕是因为“送羊进虎口”。 “建议在每个站点的修复升级完成后，1-2天后登录到系统，更改密码。 另外，请注意最近两天账户是否有异常。 ”。