資訊中心

安全預警:OpenSSL出現新漏洞 多個著名網站可能受影響

2015-03-05來源:獵豹移動


 

3月4日,獵豹移動安全實驗室(原金山毒霸)發布安全警告,著名開源軟件OpenSSL又爆出新漏洞Tracking the FREAK Attack(CVE-2015-0204)。目前已知國內多個著名網站搜狐、蘇寧、Smzdm等存在該漏洞,如果用戶在不安全的網絡下訪問這些網站,可能被竊取賬號密碼、被迫訪問釣魚網站等。

 

據介紹,該漏洞存在于OpenSSL的通訊協商處理方式上。在用戶客戶端與存在漏洞的網站建立連接時(包括網頁訪問和APP訪問),如果網絡安全較差,典型情況如免費WIFI網絡,則黑客可以通過修改協商的關鍵數據包,強迫服務器和用戶之間使用安全度較低的加密方式,然后再通過暴力破解,來竊取用戶的重要密碼;或者修改兩者之間的數據連接,誘導用戶訪問釣魚網站。

 

從技術角度講,黑客想利用該漏洞需要兩個必要條件:1、目標網站存在OpenSSL漏洞,加密協商方式存在缺陷,導致協商方式可能會被黑客篡改;2、OpenSSL的低級別加密套件默認打開。比如有些網站使用的IISweb服務器,其低級加密套件就默認處于打開狀態,加密長度僅有40位,很容易被黑客暴力破解。

 

(加密套件安全度對比圖)

 

針對該漏洞獵豹安全專家建議,可以采用以下措施來彌補漏洞:

 

黑客要想利用該漏洞進行攻擊,需要服務器和用戶客戶端都支持低版本的加密套件。禁止服務器和客戶端任意一方的不安全套件都能防止被攻擊。對于存在漏洞的網站,可以在服務器端禁止低級安全套件;作為普通用戶,可以使用安全的瀏覽器(比如獵豹安全瀏覽器),即可免受該漏洞的攻擊。

 

 

更多>>免費殺毒下載

分享到: 復制地址 新浪微博 騰訊微博 QQ空間 朋友 開心網 人人網 百度空間 搜狐 網易 豆瓣 淘江湖 百度貼吧
上海11选5走势图爱彩 红警大战 快手网红带货怎么赚钱 冒泡社区幻想三国卖金币赚钱 捕鱼达人怎么获得微信红包 在校学生网上赚钱 微信转发赚钱的app 英雄联盟吧 有做股票赚钱的人吗 天龙八部怎样可以挂机赚钱吗 巴黎彩票游戏 无人深空怎么买东西赚钱 吃鸡游戏怎样让好友看不见 三开175跑宝宝环赚钱吗 阅读文章看新闻资讯赚钱软件叫什么 有好友房的棋牌游戏 办什么样的辅导班最赚钱