猎云网4月11日报道(编辑:名扬)
近日,由Codenomicon和谷歌安全(Google Security)的研究人员互相独立发现的OpenSSL漏洞引起了安全界大动荡。
SSL是使用最普遍的网络传输加密技术,当你访问一个网站,浏览器左侧出现一个“锁头”标识,那便是使用了SSL加密技术进行数据传输。而大多数的SSL加密网站都基于名为OpenSSL的开源软件包。
此次OpenSSL 漏洞源自于其中的心跳机制(hearbeat)。具体来说,SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息(heartbeat)来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容,这些内容包含大量隐私信息,包括登录名甚至是密码等等。因此本次OpenSSL 漏洞被形象地描述为“心脏出血”(heart bleed)。
本次漏洞有多严重呢?从上世纪90年代以来,SSL就是最广泛使用的加密技术。OpenSSL是SSL类网站最常使用的那把加密锁。而现在互联网上最常用的锁出现漏洞了……安全专家Bruce Schneier撰文称,如果我们把网络安全危机按程度大小分为0到10级,那本次是11级漏洞。
谷歌在公布该漏洞的同时,就宣布已经为自己旗下的互联网服务进行了修复。那另一家提供多种数据服务的公司苹果呢?
苹果发言人向编辑表示:“苹果非常注重安全。iOS 和 OSX 从不包含易受攻击的软件。苹果关键的网络服务未受影响。”
从这番表态来看,苹果在自己的关键服务上貌似并未使用OpenSSL,因而避开了这场灾难。这也符合苹果一贯崇尚封闭,厌恶开源软件的风格。
不过苹果的发言也有所保留,近宣称关键服务未受影响,那不关甚键的服务呢?
