作为互联网上广泛使用的基础组件,OpenSSL“心脏出血”漏洞威胁持续发酵。据360漏洞研究实验室分析,OpenSSL漏洞不仅影响以https开头的网站,黑客还可利用此漏洞直接对个人PC发起“血崩”攻击。据分析,Windows上有大量软件使用了存在漏洞的OpenSSL代码库,可能被黑客攻击抓取用户电脑上的内存数据。对此360安全卫士正在紧急开发上线防护功能。
在全球最大的社交编程及代码托管网站GitHub上,已有黑客晒出利用OpenSSL漏洞攻击个人电脑客户端的代码。这意味着,即便用户不去登陆存在OpenSSL漏洞的网站,当访问被黑客控制或者伪造的https网站时也面临被攻击的风险。
中国国家信息安全漏洞库特聘技术专家、360漏洞研究实验室主任袁仁广介绍说,OpenSSL漏洞刚刚曝出时,黑客是以“客户端打服务器”的方式抓取网站服务器的内存数据,包括用户账号密码等信息。随着大多网站逐渐修复漏洞,黑客攻击方式将转向“服务器打客户端”,个人电脑的安全防护变得更为重要。
袁仁广介绍说,著名的开源软件OPEN在“心脏出血”漏洞曝出当天,就已进行紧急修复。但是在国内,很多软件仍然在使用存在漏洞的OpenSSL代码库。如果这些软件被黑客定向攻击,软件用户的数字证书等重要信息可能被黑客盗取。
图:360安全卫士对存在OpenSSL漏洞的网站进行风险提示
目前,360正在紧急开发针对OpenSSL漏洞的客户端防御方案,抢先在该漏洞被黑客大规模利用之前进行安全升级。而在之前,360安全卫士和360浏览器也已对仍未修复OpenSSL漏洞的网站进行了风险预警,提示用户注意保护账号密码的安全。
