大公網4月10日訊 綜合外電9日報道：從美國亞馬遜、雅虎，到中國淘寶、微信，全球眾多互聯(lián)網公司周二緊急應對最新發(fā)現(xiàn)的互聯(lián)網漏洞“心血”(Heartbleed)。安全專家們說，“心血”可能是互聯(lián)網安全史上最致命一擊：利用該漏洞，黑客可實時獲取很多https開頭網址的用戶登錄帳號密碼，涉及購物、網銀、微博微信、郵箱等知名網站。目前已有業(yè)內人士表示，利用這一漏洞獲得了雅虎用戶的密碼。

看到某個網站網址用了https開頭，就是採用了SSL安全協(xié)議。而OpenSSL，則是為網絡通信提供安全及數據完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應用程序供測試或其他目的使用。換言之，OpenSSL是互聯(lián)網上銷量最大的鎖，是旨在保證互聯(lián)網通訊安全的一種加密協(xié)議。而在周一，這把鎖出現(xiàn)了“核彈級”的漏洞“心血”。

5分鐘破200用戶密碼

“心血”影響了互聯(lián)網的許多方面，因為全球兩大網絡服務器Apache和nginx都使用OpenSSL。這兩種服務器約佔全球網站總數的三分之二。據中國ZoomEye網站統(tǒng)計，全中國有33303個受本次OpenSSL漏洞影響。

安全專家們稱，“心血”漏洞實際上讓黑客能夠獲得服務器的密鑰，而該密鑰用于加密通過互聯(lián)網傳遞的信息。黑客也可能會潛入服務器內存，一次盜走64千字節(jié)(byte)的數據包。只要有足夠的耐心，黑客就可以獲取足夠多的數據，拼湊出訪問網站用戶的用戶名及密碼等。

在漏洞公開后，信息安全公司Fox-IT的普林斯就通過Twitter表示：“我們已通過‘心血’漏洞獲得了雅虎的一個用戶名和密碼?！倍硪幻_發(fā)者加洛維表示：“運行‘心血’腳本5分鐘時間，就獲得了雅虎電子郵箱的200個用戶名和密碼?！?

內地多家大網站中招

在中國，雅虎門戶主頁、微信公眾號、微信網頁版、YY 語言、淘寶、網銀，陌陌等熱門網站均“中招”，只能升級軟件修補漏洞。

星期二，亞馬遜、雅虎、Tumblr和密碼管理公司LastPass等企業(yè)都表示在給OpenSSL軟件打上最近發(fā)布的補丁。美國聯(lián)邦調查局(FBI)稱其採用了內容分發(fā)網絡服務，并表示其伙伴已經給產品打上了補丁。微軟的發(fā)言人說：微軟正密切關注有關OpenSSL安全漏洞的報道，如果他們認定此事給設備和服務帶來了影響，他們將採取必要措施保護客戶。谷歌的發(fā)言人說，該公司已對SSL的弱點進行了評估，并對關鍵服務發(fā)布了補丁程序。

少登陸https開頭網站

不過安全問題研究人員認為，僅僅對OpenSSL軟件打補丁并不能奏效。Venafi公司的赫德森說，人們尚未認識到，除非更改所有密鑰和證書，否則仍然很容易受到攻擊。

對于不幸訪問了受影響網站的普通網民，專家建議，在未來一兩天內，盡量少登陸以https開頭的網站，并盡可能少用內地網銀服務，避免自己的帳號密碼被黑客竊取。如果在近期登陸過，就考慮更換密碼，以策安全。與此同時，密切關注個人財務報告，因為黑客有可能獲取服務器內存取的信用卡信息，所以要關注銀行月結單中的異?？劭?。