在OpenSSL網(wǎng)絡(luò)加密標(biāo)準(zhǔn)中,最新又被發(fā)現(xiàn)了更多的嚴(yán)重級(jí)漏洞,而這些漏洞則出現(xiàn)在惡名遠(yuǎn)揚(yáng)的“心臟流血(Heartbleed)”漏洞被發(fā)現(xiàn)的兩個(gè)月之后。OpenSSL基金會(huì)發(fā)布警告稱,一個(gè)已存在10年的漏洞可能導(dǎo)致黑客利用通過(guò)OpenSSL加密的流量發(fā)動(dòng)攻擊。這與能夠?qū)е路⻊?wù)器直接受到攻擊的“心臟流血”漏洞不同,這一新漏洞要求黑客位于兩臺(tái)通信的計(jì)算機(jī)之間。例如,使用機(jī)場(chǎng)公開(kāi)WiFi的用戶可能成為被攻擊目標(biāo)。
據(jù)發(fā)現(xiàn)這些最新OpenSSL高危漏洞的研究人員Tatsuya Hayashi向媒體宣稱,這些最新發(fā)現(xiàn)的OpenSSL漏洞可能比“心臟流血”漏洞更危險(xiǎn),因?yàn)檫@些最新漏洞能夠被用來(lái)直接監(jiān)控設(shè)備用戶的通訊情況。
“心臟流血”漏洞今年4月被發(fā)現(xiàn)時(shí),就一直被業(yè)界看作是目前為止最高危的互聯(lián)網(wǎng)漏洞之一。OpenSSL旨在通過(guò)電子鑰匙來(lái)保護(hù)用戶的數(shù)據(jù),但在最近幾個(gè)月中,已經(jīng)被曝光了大量的漏洞。
最新的這些漏洞自從1998年以來(lái)就一直存在,所幸的是,在這16年的時(shí)間內(nèi),這些漏洞一直未被從事開(kāi)放源項(xiàng)目的付費(fèi)和義務(wù)開(kāi)發(fā)者發(fā)現(xiàn)。與此同時(shí),據(jù)一些研究人員透露,本周詳細(xì)列出的OpenSSL一大高危漏洞也是由負(fù)責(zé)“心臟流血”漏洞的同一人士引入。
據(jù)稱,黑客可以利用Hayashi發(fā)現(xiàn)的這些漏洞,對(duì)同一網(wǎng)絡(luò)中的目標(biāo)實(shí)施攻擊,例如對(duì)同一個(gè)公共Wi-Fi網(wǎng)絡(luò)中的目標(biāo),黑客能夠迫使被攻擊PC和網(wǎng)絡(luò)服務(wù)器之間連接點(diǎn)上的加密鑰匙失效。在掌控了這些加密鑰匙之后,攻擊者就能夠攔截?cái)?shù)據(jù)。這些攻擊者甚至還能夠更改在用戶和網(wǎng)站之間正在發(fā)送的數(shù)據(jù),以此來(lái)誘騙被攻擊用戶發(fā)送出更多的敏感信息,例如用戶名和密碼等,這種攻擊手法被稱為“中間人”攻擊法。
OpenSSL 發(fā)現(xiàn)一個(gè)名為“中間人攻擊”(man-in-the-middle attack) 的漏洞,黑客可以利用這一漏洞截獲并讀取用戶隱私信息。
“中間人攻擊”是指攻擊者與通訊兩端分別建立獨(dú)立的聯(lián)系,并交換其所收到的數(shù)據(jù)。通訊的兩端認(rèn)為他們正在通過(guò)私密連接與對(duì)方直接對(duì)話,但事實(shí)上整個(gè)會(huì)話都在攻擊者的控制之下。在中間人攻擊中,攻擊者可以攔截通訊雙方的通話并插入新的內(nèi)容。
當(dāng)受到中間人攻擊時(shí),用戶發(fā)送的信息將會(huì)被截獲,包括網(wǎng)站登錄密碼,網(wǎng)銀支付密碼,電子郵件和聊天記錄等重要信息。而受到攻擊最可能的場(chǎng)景就是通訊兩端都在使用公共 Wifi。
Hayashi聲稱:“在公開(kāi)Wi-Fi網(wǎng)絡(luò)形勢(shì)下,攻擊者能夠非常輕松地竊取加密通訊數(shù)據(jù),并改編虛假數(shù)據(jù)。被攻擊者無(wú)法檢測(cè)到攻擊者的任何追蹤行為。”
這一漏洞將會(huì)危及所未使用最新版本OpenSSL的PC和移動(dòng)軟件,其中包括Android手機(jī)上的Chrome瀏覽器,以及搭載OpenSSL 1.0.1的服務(wù)器以及搭載OpenSSL 1.0.2測(cè)試版的服務(wù)器。事實(shí)上,諸多網(wǎng)站主都將運(yùn)行OpenSSL 1.0.1,因?yàn)镺penSSL 1.0.1已經(jīng)修復(fù)了“心臟流血”漏洞。不過(guò),幸運(yùn)的是,OpenSSL經(jīng)營(yíng)團(tuán)隊(duì)已經(jīng)發(fā)布了相關(guān)的補(bǔ)丁。目前,使用漏洞版本OpenSSL的互聯(lián)網(wǎng)用戶已經(jīng)被要求安裝相關(guān)的補(bǔ)丁,目前OpenSSL管理團(tuán)隊(duì)已經(jīng)公布了相關(guān)詳細(xì)方案,其中包括修復(fù)OpenSSL的其它一系列漏洞在內(nèi)。
據(jù)稱,此次最新發(fā)現(xiàn)的另一款OpenSSL漏洞,能夠讓攻擊者發(fā)送惡意程序,進(jìn)而影響運(yùn)行OpenSSL的設(shè)備,從而再讓這些設(shè)備泄露數(shù)據(jù),這一漏洞也是被當(dāng)初負(fù)責(zé)“心臟流血”漏洞事務(wù)的同一開(kāi)發(fā)者引入,這名開(kāi)發(fā)者就是羅賓·塞格爾曼(Robin Seggelmann)。
據(jù)安全公司Rapid7的戰(zhàn)略服務(wù)副總裁尼克·皮爾科科(Nick Percoco)稱,修復(fù)Hayashi發(fā)現(xiàn)的最新漏洞之工作量可能要比修復(fù)“心臟流血”漏洞的工作量大很多。
不過(guò),谷歌(微博)安全工程師亞當(dāng)·朗利(Adam Langley)在博客中稱,許多受歡迎的瀏覽器似乎非常安全,沒(méi)有遭到攻擊。他稱:“非OpenSSL客戶端產(chǎn)品(包括IE、Firefox、臺(tái)式Chrome、iOS版Chrome以及Safari等)都沒(méi)有受到影響。當(dāng)然,所有的OpenSSL必須對(duì)此產(chǎn)品進(jìn)行更新!