分享至好友和朋友圈

原标题：全球网站急补“心脏出血”漏洞

程序员Sean Cassidy打了个比方，OpenSSL就像互联网世界销量最大的门锁，Heartbleed则相当于让特定版本的OpenSSL，成为无需钥匙即可开启的废锁。据称，上千万台网络服务器都可能受这一漏洞的影响。有报告显示，这一漏洞已经存在了大约两年。

早报记者 庄春晖

全球互联网集体经历了一场“心脏出血”（Heartbleed）。

美国当地时间4月8日，互联网安全漏洞Heartbleed被发现，这个安全漏洞存在于加密协议OpenSSL中。OpenSSL是旨在保证互联网通信安全的一种加密协议。

这是OpenSSL今年以来爆出最严重的安全漏洞。利用该漏洞，黑客可实时获取全球近1/3以https开头网址的用户登录账号密码，范围涉及大批网银、购物网站、电子邮件等。据称，上千万台网络服务器都可能受这一漏洞的影响。有报告显示，这一漏洞已经存在了大约两年。

亚马逊、雅虎等国外互联网公司当天采取紧急应对措施。中国的互联网公司均表示已加强了系统防范。奇虎360安全专家石晓虹建议，在此漏洞得到修复前，暂时不要在受到漏洞影响的网站上登录账号。

“可以让OpenSSL沦为一把废锁”

刚刚被曝光的这一漏洞，对互联网安全影响明显。

OpenSSL应用广泛，包括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，是Apache Web服务器的默认安全通信选项。目前在各大门户网站、电子邮件、网银、电商网站、在线支付等常用网站上，被广泛使用。OpenSSL在虚拟专用网络（VPN）技术中也被普遍使用。

安全专家介绍，此次漏洞的成因，可能是OpenSSL存在一个BUG，当攻击者构造一个特殊的数据包，满足一定条件后，会导致数据输出，该漏洞让攻击者可以远程读取数据，一次盗走64K的数据包。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

程序员Sean Cassidy打了个比方，OpenSSL就像互联网世界销量最大的门锁，Heartbleed则相当于让特定版本的OpenSSL，成为无需钥匙即可开启的废锁。

据介绍，入侵者每次可以翻检用户64K信息，只要他有足够的耐心和时间，还可以翻检足够多的数据，并以此拼凑出用户的银行密码、私信等敏感数据。

这个漏洞据称是安全公司Codenomicon及谷歌安全工程师共同发现的，他们把它递交给了相关管理机构。随后，官方发布了漏洞的修复方案。黑客社群为这个漏洞起了个形象的名字：Heartbleed。

据《华尔街日报》4月9日报道，Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密码管理公司LastPass等企业都表示，正在给OpenSSL软件打上最近发布的补丁。