互联网上应用最广门锁爆出严重安全漏洞

“4月8日是黑客和白帽子们的不眠之夜。”有人这样形容。早上还在讨论WINXP停止服务，到晚上

九块邮九块九包邮bhu6g已到处是OpenSSL的漏洞消息。OpenSSL是为网络通信提供安全及数据完整性的一种安全协

九块邮九块九包邮bhu6g议，在各大网银、在线支付、电商网站、门户网站、电子邮件等广泛使用。就是这个被许多企业和服务商用

九块邮九块九包邮bhu6g来加密数据的安全协议，爆出了本年度最严重的安全漏洞——黑客可以利用这个漏洞从服务器内存中窃取6

九块邮九块九包邮bhu6g4KB数据，64KB数据量并不大，但黑客可以重复利用该漏洞，多次窃取数据，并可能因此获得用户的

九块邮九块九包邮bhu6g加密密钥，解密敏感数据。打个比方，OpenSSL是目前互联网上应用最广“门锁”，而这个漏洞让

九块邮九块九包邮bhu6g特定版本的OpenSSL成了不设防的保险箱。惊现安全漏洞“(这个消息)我们最初是在海外论坛

九块邮九块九包邮bhu6g上看到的，很快传回了国内。”金山首席安全专家李铁军说，4月7日(美国当地时间)有黑客公布了旧版

九块邮九块九包邮bhu6g本OpenSSL的安全漏洞，“因为漏洞机制描述得非常详细，很快就在圈内传开了。”漏洞的发布在

九块邮九块九包邮bhu6g一个相当危险的时间点——黑客们已经纷纷出动，而一些公司的负责人却正在睡觉。发现者们给这个漏洞起

九块邮九块九包邮bhu6g了个相当形象的名字“heartbleed”，直译为“心脏出血”。这一夜，互联网的安全核心，开始

九块邮九块九包邮bhu6g滴血。黑客、白帽子们、运维主管、安全厂商们，闻着“血”而动：他们有的开始狂欢，逐一进入戒备森

九块邮九块九包邮bhu6g严的网站，收集泄露数据；有的开始测试有多少网站受到影响以及推出检测脚本；有的在统计漏洞信息，还

九块邮九块九包邮bhu6g要准备说服客户，解释问题的严重性；有的连夜开始紧急预警修复升级系统版本；WooYun漏洞平台上

九块邮九块九包邮bhu6g很多白帽子开始对大范围网站进行了测试刷分，场面颇为壮观……而普通网民们却毫不知情。“很快，甚

九块邮九块九包邮bhu6g至有黑客发布了旧版本OpenSSL的‘傻瓜攻击’。”李铁军解释说，这意味着非专业技术人员只要依

九块邮九块九包邮bhu6g样画葫芦就能利用漏洞从服务器内窃取数据。“收到这个漏洞后我们最先测试了支付宝，确认存在此漏洞

九块邮九块九包邮bhu6g，发起检测。之后我们又发现雅虎门户主页、微信公众号、微信网页版、YY语言、淘宝、网银、陌陌、社

九块邮九块九包邮bhu6g交、门户网站存在此漏洞。”网友Evi1m0在知乎上透露，“在一个社交网站中我获取到了用户登录的

九块邮九块九包邮bhu6g帐号以及密码甚至是安全问题与答案。这里的密码使用的明文传输，以至于通过这样的漏洞攻击，我成功地

九块邮九块九包邮bhu6g登录了上百个账户，当然我什么都没做，出于测试而已。”国内知名网站几无幸免目前支付宝、淘宝已

九块邮九块九包邮bhu6g修复漏洞这个漏洞影响究竟有多大？安全专家们不约而同地推荐参考zoomeye(钟馗之眼)的扫描

九块邮九块九包邮bhu6g数据，这是一个网络空间搜索引擎，业界公认的权威。根据zoomeye系统扫描，中国全境至少有33

九块邮九块九包邮bhu6g303台服务器受本次OpenSSL漏洞影响。网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付

九块邮九块九包邮bhu6g宝、知乎、淘宝网、360应用、京东、YY语言……从消费到通讯、社交，国内知名网站几乎无一幸免。

九块邮九块九包邮bhu6g而很多用户毫不知情，仍然在访问着老虎嘴中的站点。幸好，官方很快发布了漏洞的修复方案：因为这是

九块邮九块九包邮bhu6g一个旧版本OpenSSL的安全漏洞，开发者把服务器程序升级到OpenSSL1.0.1g可以解决

九块邮九块九包邮bhu6g。“目前腾讯几大产品线已经都升级修复了，而且反复进行了扫描，确保漏洞已经被修复。”腾讯相关负

九块邮九块九包邮bhu6g责人表示，在腾讯相关的产品业务如邮箱、财付通、QQ、微信等都已经可以放心使用。“阿里旗下网站

九块邮九块九包邮bhu6g已经都没有问题了。”阿里集团相关负责人也表示，技术部门一得到漏洞消息就连夜进行了版本升级，修复

九块邮九块九包邮bhu6g了漏洞。目前支付宝、淘宝、天猫都可以正常使用。截止记者发稿时，包括支付宝、淘宝、微信、QQ平

九块邮九块九包邮bhu6g台、网易、12306铁路客户服务中心等在内大型网站已修复漏洞。应对未知风险安全专家给出两条

九块邮九块九包邮bhu6g建议互联网门户洞开的“惊魂一夜”过去了，从开始到基本结束，绝大多数网友都一无所知。我们安全

九块邮九块九包邮bhu6g了吗？从zoomeye系统的扫描结果看，比33303台服务器受漏洞影响更让人担心的是：这些服

九块邮九块九包邮bhu6g务器有的在银行网银系统中；有的部署在第三方支付里；有的在大型电商网站；有的在网络邮箱、即时通讯

九块邮九块九包邮bhu6g系统中……“特别是现在互联网金融和第三方支付的发展非常迅速，这意味着以前用银行卡、POS机进

九块邮九块九包邮bhu6g行的交易都将逐渐转移到互联网上，这对网络安全提出了越来越高的要求。”李铁军坦承比用户端更不可控

九块邮九块九包邮bhu6g的是服务端，如果黑客入侵了服务器，受损的远不止公司一个个体，还包括存放于公司数据库的大量用户敏

九块邮九块九包邮bhu6g感资料。“这个漏洞据说早在2012年就被挖掘出来，直到昨天CVE纳入编号CVE-2014-0

九块邮九块九包邮bhu6g160，8号才正式爆发。”Evi1m0也在知乎上透露，“使用HTTPS的网站大多是因为数据需加

九块邮九块九包邮bhu6g密防止嗅探等攻击的发生，漏洞爆发后彻底将这层大门打破，于是很多网站处于被监听的状态中。”两年

九块邮九块九包邮bhu6g多时间，谁也不知道是否已经有黑客利用漏洞获取了用户资料；而且由于该漏洞即使被入侵也不会在服务器

九块邮九块九包邮bhu6g日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通

九块邮九块九包邮bhu6g知用户进行补救。“最近两天不要登录未修复的服务器，以免自投罗网，即使想要修改用户名或密码也等

九块邮九块九包邮bhu6g几天再改。”几位安全专家给出的建议都很一致。因为最近几天网友登录一些关键服务网站，若网站未完成

九块邮九块九包邮bhu6g漏洞修复，登录信息就可能被黑客远程捕获。尽管zoomeye的扫描结果及涉及名单已经被提交给国

九块邮九块九包邮bhu6g家互联网应急中心，按照流程应由后者进行全国预警，但截止记者发稿时，在国家互联网应急中心官网上尚

九块邮九块九包邮bhu6g无相关信息发布。事实上，除了移动、联通等这些大型企业外，国家互联网应急中心也没有强制力确保其

九块邮九块九包邮bhu6g他公司看到预警内容，旧版本OpenSSL的安全漏洞修复时间是个不确定值。对于普通用户怎么办呢

九块邮九块九包邮bhu6g？除了在确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能，以避免用户密码被漏洞后的

九块邮九块九包邮bhu6g黑客捕获外。安全专家们给出了两条建议：一是对重要服务，尽可能开通手机验证或动态密码，比如支付

九块邮九块九包邮bhu6g宝、邮箱等。登录重要服务，不仅仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这样就算黑

九块邮九块九包邮bhu6g客拿到账户密码，登录还有另一