微軟剛剛停止對(duì)Windows XP繼續(xù)支持，OpenSSL就在4月7日爆出了2014年度最嚴(yán)重的安全漏洞。從各種公開(kāi)的信息發(fā)現(xiàn)，該漏洞的影響范圍覆蓋眾多知名購(gòu)物網(wǎng)站，悲觀(guān)一點(diǎn)的預(yù)測(cè)，該漏洞可以說(shuō)是席卷了大半個(gè)中國(guó)的購(gòu)物網(wǎng)站。

在解釋OpenSLL漏洞前，我們先看看OpenSLL是什么？簡(jiǎn)單的概括， OpenSSL就是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，是全開(kāi)放的，只要服從簡(jiǎn)單的許可協(xié)議，任何人或機(jī)構(gòu)都可以免費(fèi)的獲取并且應(yīng)用于商業(yè)、非商業(yè)目的。還有一個(gè)重要的特點(diǎn)，就是OpenSLL完全由世界各地的軟件開(kāi)發(fā)志愿者管理著。志愿者通過(guò)因特網(wǎng)進(jìn)行交流、策劃和開(kāi)發(fā)OpenSSL工具和相關(guān)的文檔。

OpenSSL 漏洞則是在OpenSLL v1.0.1到1.0.1f的版本密碼算法庫(kù)中發(fā)現(xiàn)了一個(gè)非常嚴(yán)重的BUG，在處理TLS心跳擴(kuò)展中缺失了邊界檢查，暴露加密流量的密鑰，用戶(hù)的名字和密碼，以及訪(fǎng)問(wèn)的內(nèi)容。由于OpenSSL是Apache 網(wǎng)絡(luò)服務(wù)器的默認(rèn)安全協(xié)議，加上在大量的Linux、Unix系統(tǒng)中使用，以及在諸多的電子郵件、即時(shí)通訊系統(tǒng)也采用OpenSSL加密用戶(hù)數(shù)據(jù)通訊，意味著攻擊者可以利用該bug獲取大量互聯(lián)網(wǎng)服務(wù)器與用戶(hù)之間的數(shù)字證書(shū)私鑰，從而獲取用戶(hù)賬戶(hù)密碼等敏感數(shù)據(jù)。

OpenSSL漏洞與個(gè)人用戶(hù)的電腦和系統(tǒng)的相關(guān)性很小，主要影響的是使用了相關(guān)OpenSSL的網(wǎng)站以及郵件服務(wù)器系統(tǒng)，如果用戶(hù)登錄存在此漏洞的網(wǎng)站或者系統(tǒng)，都可能被黑客實(shí)時(shí)監(jiān)控獲取您的賬號(hào)密碼，最典型的就是購(gòu)物網(wǎng)站。（見(jiàn)圖1）

利用此漏洞，惡意攻擊者可以實(shí)時(shí)獲取到終端訪(fǎng)問(wèn)者在某些https開(kāi)頭網(wǎng)址登錄的賬號(hào)密碼，只要你在登錄的同時(shí)，黑客也在對(duì)相同網(wǎng)址進(jìn)行監(jiān)控，你的賬號(hào)密碼就會(huì)有泄露的危險(xiǎn)。為此，天融信入侵防御系統(tǒng)已于漏洞爆發(fā)當(dāng)日緊急更新了TopIDP，實(shí)現(xiàn)了對(duì)Open SSL TLS心跳擴(kuò)展協(xié)議遠(yuǎn)程信息泄露漏洞的防護(hù)。用戶(hù)只要更新規(guī)則庫(kù)，在TopIDP設(shè)備上勾選，即刻輕松防護(hù)（見(jiàn)圖2）。