3月4日，獵豹移動安全實驗室（原金山毒霸）發布安全警告，著名開源軟件OpenSSL又爆出新漏洞Tracking the FREAK Attack（CVE-2015-0204）。目前已知國內多個著名網站搜狐、蘇寧、Smzdm等存在該漏洞，如果用戶在不安全的網絡下訪問這些網站，可能被竊取賬號密碼、被迫訪問釣魚網站等。

據介紹，該漏洞存在于OpenSSL的通訊協商處理方式上。在用戶客戶端與存在漏洞的網站建立連接時（包括網頁訪問和APP訪問），如果網絡安全較差，典型情況如免費WIFI網絡，則黑客可以通過修改協商的關鍵數據包，強迫服務器和用戶之間使用安全度較低的加密方式，然后再通過暴力破解，來竊取用戶的重要密碼；或者修改兩者之間的數據連接，誘導用戶訪問釣魚網站。

從技術角度講，黑客想利用該漏洞需要兩個必要條件：1、目標網站存在OpenSSL漏洞，加密協商方式存在缺陷，導致協商方式可能會被黑客篡改；2、OpenSSL的低級別加密套件默認打開。比如有些網站使用的IISweb服務器，其低級加密套件就默認處于打開狀態，加密長度僅有40位，很容易被黑客暴力破解。

（加密套件安全度對比圖）

針對該漏洞獵豹安全專家建議，可以采用以下措施來彌補漏洞：

黑客要想利用該漏洞進行攻擊，需要服務器和用戶客戶端都支持低版本的加密套件。禁止服務器和客戶端任意一方的不安全套件都能防止被攻擊。對于存在漏洞的網站，可以在服務器端禁止低級安全套件；作為普通用戶，可以使用安全的瀏覽器（比如獵豹安全瀏覽器），即可免受該漏洞的攻擊。