OpenSSL被爆漏洞 椒图科技出解决方案

    昨天晚间消息，在全球广泛使用的开源加密通信开发库OpenSSL昨晚爆出致命安全漏洞 “heartbleed” （中文翻译：心脏出血）（CVE-2014-0160），利用该漏洞黑客可实时获取以https开头网址的用户账号、密码，包括大批网银、电商、电子邮件等，也就是说如果你昨天登录过网银、电商或者电子邮箱，你的用户名、密码很可能已经被黑客窃取。

    OpenSSL是全球使用最广泛的开源加密通信开发库，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。

    国内知名信息安全厂商-椒图科技（www.jowto.com）技术总监称，如同漏洞名称“heartbleed”一样，此漏洞非常致命，黑客可以通过构造恶意的SSL协议的数据包，把一些敏感信息，例如加密密钥读出，从而解密加密通道，监听通信，盗取用户名及密码。Openssl的应用非常广泛，我们日常接触到很多的网银、电商、网上支付、邮箱等众多网站都会受到影响，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

    目前椒图科技攻防实验室，已经推出了应急处理方案：

    1，  针对用户：

    如果您昨天登录过网银、电商、网上支付、邮箱，请尽快修改你的密码，因为你的密码很可能已经被黑客窃取

    2，  针对使用OpenSSL的网站：

    存在漏洞的OpenSSL版本为v1.0.1到v1.0.1f.

    请尽快升级OpenSSL到v1.0.1g。由于OpenSSL使用的广泛性，未来几天可能还可能会陆续有问题爆出。在互联网飞速发展的今天，一旦出现信息安全问题，将可能造成不可估量的损失，椒图科技提醒大家提早做好安全加固，防患于未然。■