在OpenSSL网络加密标准中,最新又被发现了更多的严重级漏洞,而这些漏洞则出现在恶名远扬的“心脏流血(Heartbleed)”漏洞被发现的两个月之后。OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动攻击。这与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。
据发现这些最新OpenSSL高危漏洞的研究人员Tatsuya Hayashi向媒体宣称,这些最新发现的OpenSSL漏洞可能比“心脏流血”漏洞更危险,因为这些最新漏洞能够被用来直接监控设备用户的通讯情况。
“心脏流血”漏洞今年4月被发现时,就一直被业界看作是目前为止最高危的互联网漏洞之一。OpenSSL旨在通过电子钥匙来保护用户的数据,但在最近几个月中,已经被曝光了大量的漏洞。
最新的这些漏洞自从1998年以来就一直存在,所幸的是,在这16年的时间内,这些漏洞一直未被从事开放源项目的付费和义务开发者发现。与此同时,据一些研究人员透露,本周详细列出的OpenSSL一大高危漏洞也是由负责“心脏流血”漏洞的同一人士引入。
据称,黑客可以利用Hayashi发现的这些漏洞,对同一网络中的目标实施攻击,例如对同一个公共Wi-Fi网络中的目标,黑客能够迫使被攻击PC和网络服务器之间连接点上的加密钥匙失效。在掌控了这些加密钥匙之后,攻击者就能够拦截数据。这些攻击者甚至还能够更改在用户和网站之间正在发送的数据,以此来诱骗被攻击用户发送出更多的敏感信息,例如用户名和密码等,这种攻击手法被称为“中间人”攻击法。
OpenSSL 发现一个名为“中间人攻击”(man-in-the-middle attack) 的漏洞,黑客可以利用这一漏洞截获并读取用户隐私信息。
“中间人攻击”是指攻击者与通讯两端分别建立独立的联系,并交换其所收到的数据。通讯的两端认为他们正在通过私密连接与对方直接对话,但事实上整个会话都在攻击者的控制之下。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
当受到中间人攻击时,用户发送的信息将会被截获,包括网站登录密码,网银支付密码,电子邮件和聊天记录等重要信息。而受到攻击最可能的场景就是通讯两端都在使用公共 Wifi。
Hayashi声称:“在公开Wi-Fi网络形势下,攻击者能够非常轻松地窃取加密通讯数据,并改编虚假数据。被攻击者无法检测到攻击者的任何追踪行为。”
这一漏洞将会危及所未使用最新版本OpenSSL的PC和移动软件,其中包括Android手机上的Chrome浏览器,以及搭载OpenSSL 1.0.1的服务器以及搭载OpenSSL 1.0.2测试版的服务器。事实上,诸多网站主都将运行OpenSSL 1.0.1,因为OpenSSL 1.0.1已经修复了“心脏流血”漏洞。不过,幸运的是,OpenSSL经营团队已经发布了相关的补丁。目前,使用漏洞版本OpenSSL的互联网用户已经被要求安装相关的补丁,目前OpenSSL管理团队已经公布了相关详细方案,其中包括修复OpenSSL的其它一系列漏洞在内。
据称,此次最新发现的另一款OpenSSL漏洞,能够让攻击者发送恶意程序,进而影响运行OpenSSL的设备,从而再让这些设备泄露数据,这一漏洞也是被当初负责“心脏流血”漏洞事务的同一开发者引入,这名开发者就是罗宾·塞格尔曼(Robin Seggelmann)。
据安全公司Rapid7的战略服务副总裁尼克·皮尔科科(Nick Percoco)称,修复Hayashi发现的最新漏洞之工作量可能要比修复“心脏流血”漏洞的工作量大很多。
不过,谷歌(微博)安全工程师亚当·朗利(Adam Langley)在博客中称,许多受欢迎的浏览器似乎非常安全,没有遭到攻击。他称:“非OpenSSL客户端产品(包括IE、Firefox、台式Chrome、iOS版Chrome以及Safari等)都没有受到影响。当然,所有的OpenSSL必须对此产品进行更新。”