绰号为“心脏出血(Heartbleed)” 的OpenSSL高危漏洞影响了三分之二的Web服务。OpenSSL是目前最流行的开源加密库和TLS协议实现,是Apache和nginx Web server默认使用的加密库,数据显示66%的网站运行Apache和nginx Web服务器。Heartbleed bug是代码中缺少边界检查导致的,利用它攻击者事实上可以绕过TLS保护,直接从处理OpenSSL进程的计算机内存中获取加密密钥和用户密码等敏感信息。
安全研究人员称,即使受影响Web服务安装了最新的OpenSSL补丁,他们仍然可能容易受到攻击,因为攻击者有可能已经窃取到了数字证书的私钥和用户的密码等网站登录验证信息, 互联网公司可能需要撤销所有暴露的私钥,重新发行新的密钥,让所有会话密钥和会话cookies失效。Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最新的补丁。雅虎的发言人说,该公司团队已对雅虎的主要属性成功进行了适当的修正。安全研究人员Mark Loman在Yahoo Mail上的演示显示,他可以轻松利用一个开源工具获取Yahoo Mail的明文用户密码。
