微軟剛剛停止對Windows XP繼續(xù)支持，OpenSSL就在4月7日爆出了2014年度最嚴(yán)重的安全漏洞。從各種公開的信息發(fā)現(xiàn)，該漏洞的影響范圍覆蓋眾多知名購物網(wǎng)站，悲觀一點(diǎn)的預(yù)測，該漏洞可以說是席卷了大半個(gè)中國的購物網(wǎng)站。

在解釋OpenSLL漏洞前，我們先看看OpenSLL是什么？簡單的概括， OpenSSL就是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，是全開放的，只要服從簡單的許可協(xié)議，任何人或機(jī)構(gòu)都可以免費(fèi)的獲取并且應(yīng)用于商業(yè)、非商業(yè)目的。還有一個(gè)重要的特點(diǎn)，就是OpenSLL完全由世界各地的軟件開發(fā)志愿者管理著。志愿者通過因特網(wǎng)進(jìn)行交流、策劃和開發(fā)OpenSSL工具和相關(guān)的文檔。

OpenSSL 漏洞則是在OpenSLL v1.0.1到1.0.1f的版本密碼算法庫中發(fā)現(xiàn)了一個(gè)非常嚴(yán)重的BUG，在處理TLS心跳擴(kuò)展中缺失了邊界檢查，暴露加密流量的密鑰，用戶的名字和密碼，以及訪問的內(nèi)容。由于OpenSSL是Apache 網(wǎng)絡(luò)服務(wù)器的默認(rèn)安全協(xié)議，加上在大量的Linux、Unix系統(tǒng)中使用，以及在諸多的電子郵件、即時(shí)通訊系統(tǒng)也采用OpenSSL加密用戶數(shù)據(jù)通訊，意味著攻擊者可以利用該bug獲取大量互聯(lián)網(wǎng)服務(wù)器與用戶之間的數(shù)字證書私鑰，從而獲取用戶賬戶密碼等敏感數(shù)據(jù)。

OpenSSL漏洞與個(gè)人用戶的電腦和系統(tǒng)的相關(guān)性很小，主要影響的是使用了相關(guān)OpenSSL的網(wǎng)站以及郵件服務(wù)器系統(tǒng)，如果用戶登錄存在此漏洞的網(wǎng)站或者系統(tǒng)，都可能被黑客實(shí)時(shí)監(jiān)控獲取您的賬號密碼，最典型的就是購物網(wǎng)站。（見圖1）

利用此漏洞，惡意攻擊者可以實(shí)時(shí)獲取到終端訪問者在某些https開頭網(wǎng)址登錄的賬號密碼，只要你在登錄的同時(shí)，黑客也在對相同網(wǎng)址進(jìn)行監(jiān)控，你的賬號密碼就會(huì)有泄露的危險(xiǎn)。為此，天融信入侵防御系統(tǒng)已于漏洞爆發(fā)當(dāng)日緊急更新了TopIDP，實(shí)現(xiàn)了對Open SSL TLS心跳擴(kuò)展協(xié)議遠(yuǎn)程信息泄露漏洞的防護(hù)。用戶只要更新規(guī)則庫，在TopIDP設(shè)備上勾選，即刻輕松防護(hù)（見圖2）。