北京时间6月6日消息,日前,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动攻击。这与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。
OpenSSL再爆新漏洞(图片来自442230)
据这一漏洞的发现者日本研究员Masashi Kikuchi表示“当服务器和客户端都存在漏洞时,攻击者可以窃听及伪造你的通信。”OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。
据悉,信息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVG Virus Labs的数据,目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。
此外,在“心脏流血”漏洞被发现之后,包括亚马逊、思科、戴尔、谷歌、英特尔、高通和VMware在内的公司都承诺在未来3年内每年投入10万美元,用于Core Infrastructure Initiative项目。这一新的开源项目由Linux基金会牵头,用于支撑OpenSSL等关键的开源基础设施。
