今年4月,在密码软件库OpenSSL中发现了一个危险的安全漏洞,可以泄露计算机内存中的信息。这一名为“心脏出血”(Heartbleed)的漏洞让专业黑客、甚至是普通黑客爱好者可以很容易地通过网站、电子邮件、即时消息和虚拟专用网获取私钥、密码、用户id和姓名。
事实证明,这个漏洞被隐藏了两年多,直到谷歌的安全团队的一名成员发现。
尤其令人担忧的是,黑客通过该漏洞发起的攻击无法追踪到源头。
据估计,全球有超过60万台服务器可能受到攻击。该漏洞的修复程序已于4月7日发布(OpenSSL 1.0.1g)。然而,据估计,服务器被修复的速度仅为易受攻击服务器总数的一半左右。
Errata Security的研究员罗伯特·格雷厄姆(Robert Graham)一直在跟踪固定系统与仍然脆弱的系统的比例。他发现,超过一半的易受攻击的网站在漏洞被发现并提供修复后不久就被修复了。但进展似乎已经停滞,自最初的修复狂潮以来,易受攻击系统的数量并没有太大变化。
“这表明人们甚至不再尝试修补。随着旧系统被慢慢取代,我们应该会在未来十年看到一个缓慢的下降。然而,即使十年后,我仍然预计会发现成千上万的系统,包括关键系统,仍然很脆弱。”说格雷厄姆。
与此同时,电脑和互联网用户可以采取这些简单的步骤来保护自己免受病毒的侵害Heartbleed错误:
*检查您用于电子商务、银行、电子邮件、即时通讯、医疗目的、旅游以及任何其他通过密码、个人信息或任何其他敏感数据访问的网站的书签
*访问网站列表,提供有关这些网站的Heartbleed漏洞状态的信息。一个这样的检查网站是LastPass.
*如果你知道某个特定的网站不再受到“心脏出血”漏洞的诅咒,请继续更改该网站的密码。如果一个网站还没有被修复,就没有必要修改你的密码,因为新密码和旧密码一样容易受到攻击。在此期间,最好不要使用一个仍有bug的网站,直到它恢复正常为止。“心脏出血”漏洞使黑客可以访问敏感数据,但只有在数据传输时,这意味着如果你的数据没有被使用,它应该是安全的。