专家认为,“心脏出血”这种漏洞除了危及Facebook之类的网站,也会影响家用路由器或打印机之类联网设备。要给这些设备升级,不是短期可以完成的。
当“心脏出血”(Heartbleed)漏洞在上周一被发现之后,人们的注意力主要集中在该漏洞给像雅虎(Yahoo)和亚马逊(Amazon)这样的互联网大公司带来的后果上。但是,安全专家称,这一漏洞的潜在危害涉及的范围可能更广,影响到互联网的核心以及许多联网的设备。
周四,一些设备制造商开始披露他们的设备是否受到影响。
思科系统(Cisco Systems)是一家主要的互联网通讯设备制造商,该公司称,公司生产的大路由器和服务器、及其在线服务业务(这是公司的一大业务)都没有受影响。假如它们受到了影响的话,就将会对几乎所有接入互联网的大公司带来巨大的影响。
思科称,公司生产的部分产品受到这一漏洞的影响,这些设备包括:某些连接在互联网上的电话、一种帮助人们举行在线会议的服务器,以及另一种用于办公通信的设备。思科还发布了一个产品清单,列出了已经通过漏洞检查的设备,并随着公司继续检查设备,不断更新这一清单。
思科的一个竞争对手瞻博网络公司(Juniper Networks)也表示,其主要产品未受到影响。这家公司只在一种让人们在互联网之上建立私人通信的设备上发现了问题。
瞻博网络公司企业通信部门副总裁迈克尔·布赛林(Michael Busselen)说,“除了一种产品外,我们客户受到的影响,如果有的话,也是最小的。”
英特尔公司(Intel)发言人查克·马洛伊(Chuck Mulloy)说,英特尔公司过去几天一直在对产品的易遭攻击性进行检查,迄今并未发现问题。但是他说,检查工作还没有做完。
移动技术制造商高通公司(Qualcomm)称,公司仍在检查其产品。
“心脏出血”漏洞是在名为OpenSSL的方法中发现的,这是一种帮助给互联网上的信息加密的工具。
对大多数人来说,像Facebook和谷歌(Google)这样的网站是互联网上最看得见的部分。但是,诸如家庭路由器和打印机等硬件设备也在互联网上,某些这类设备将OpenSSL做在硬件里。
“这就是问题很糟糕的原因,”安全公司Crowdstrike公司的首席执行官乔治·库尔茨(George Kurtz)说,“OpenSSL远远超出网站的范围,也包含在电子邮件协议以及各种嵌入式设备中。”
思科系统和瞻博网络公司制造的大部分设备都没有受到影响,因为这两家公司的数据加密没有使用OpenSSL。
安全专家称,私人家庭路由器经常包含OpenSSL,这会让这类设备容易受到攻击。但他们表示,由于很多家庭路由器有阻挡外部通讯进入的设置,因此黑客能利用“心脏出血”漏洞窃取网上银行和电子邮件账户密码等数据的风险很低,特别是因为仍有成千上万可轻而易举地盗取数据的易受攻击网站存在。
但是库尔茨说,如果想绝对放心的话,用户可以联系家庭路由器制造商,来做设备升级,这是明智的做法。
研究网络安全的人士称,尽管黑客发布过易受攻击的网站名单,但在黑市上出售像密码这样的敏感数据的活动似乎并没有增加。
安全专家说,升级和清理所有易受攻击设备的工作需要数年时间。
库尔茨说,“修补雅虎、谷歌和其他大公司服务器的漏洞是一码事,但是修补所有嵌入式设备的漏洞则完全是另一码事。我看不出来这些嵌入式设备会马上升级。”
