OpenSSL再曝重大安全漏洞:潜伏16年之久
2014-06-12

 【PConline 资讯】今年4月爆出的Heartbleed漏洞至今依然令整个互联网界心有余悸,外媒消息,近日,为全球各大网站广泛使用的OpenSSL安全协议又曝出另一项重大漏洞,据称该漏洞已经潜伏16年之久,任何黑客都可以通过该漏洞破解加密层窃取数据。

openssl

  OpenSSL基金会近期发布一项建议性警告,希望用户再次对所使用的SSL安全协议进行升级,以修复一项此前从未发现的漏洞。据悉,这一漏洞由日本安全研究员菊池志(Masashi Kikuchi)发现,通过迫使电脑和服务器使用强度更低的密钥,使得位于两者之间的中间人得以进行解密并读取数据。

  据软件公司Lepidum(菊池志的雇主)发布的一份文件显示,该缺陷允许恶意中间节点截取被加密的数据,并通过迫使SSL协议客户端使用直接暴露的低强度密钥,从而对其进行解密。通俗来讲,这就好比两个人在建立安全连接,这时有攻击者插入一条命令,让两人误以为他们使用的仍然是私人密码,而实际上这一密码已经为攻击者所知。

  另外,该漏洞与Heartbleed不同,后者允许任何人直接攻击任何使用OpenSSL协议的服务器,而使用该漏洞的黑客则必须位于两台计算机之间。尽管如此,该漏洞还是存在巨大的隐患。比如用户在使用公共网络时,就很容易受到攻击。而且,本次漏洞还有另一大局限性,即只有连接的两端都使用OpenSSL协议时,才可利用本漏洞进行数据破解。专家称,大部分浏览器都使用其他SSL协议,所以并不会受到影响。不过,Android设备以及许多VPN使用的正是OpenSSL协议,尤其是后者,由于常常涉及敏感数据,因此很容易成为被攻击的对象。

  菊池志在博文中指出,早在1998年OpenSSL开发之初,该漏洞就一直存在。尽管前不久的Heartbleed事件让业界开始广泛关注起OpenSSL协议的安全性,但是OpenSSL代码受到专业安全研究人员的检测和维护程度还是远远不够。如果能够得到TLS/SSL领域专家的维护,这些漏洞可能早就被发现并修补。

  有专家指出,在棱镜门事件一周年纪念日之际发现隐藏十几年的安全漏洞,对于安全领域是一个颇具讽刺意味的严酷教训。像OpenSSL这样历史悠久、使用范围广泛的安全协议可能仍然存在最基本的缺陷和漏洞,而仅有少数工程师利用不足的资源对这些协议进行维护,这对于整个互联网界都是一种羞辱。

热文推荐

相关推荐