最新消息
OPEN SSL加密技術漏洞,網路安全大出血
2014.04.23

 

  網路安全研究人員發現,用來保護電子郵件傳輸、電子商務交易、社群網站文章和其他網路活動的加密技術出現安全漏洞,可能危及使用者密碼和敏感資料。

 

  網路安全防護公司Fox-IT專家表示,OpenSSL加密軟體1個名為「心臟出血」(Heartbleed)的安全缺陷能讓駭客由電腦伺服器的工作記憶體,非法取得密碼和其他資訊。

 

  OpenSSL是加密網路通訊的基礎技術,得以捍衛密碼、信用卡卡號和其他流通於網路上的資料,目前有超過一半的網站都採用這套技術。Fox-IT在部落格文章寫道:「駭客可以藉著這個安全漏洞,發動無限次攻擊。」

 

  「心臟出血」可能危及原始碼、密碼和可被用來冒用登入網站或解鎖加密資料的「金鑰」。

 

  臺灣大部分網路銀行採用微軟ISS伺服器,或OpenSSL1.0.1及OpenSSL1.0.1f版本,所以不受Heartbleed超危險漏洞影響。

 

  受影響的OpenSSL版本有1.0.1 及1.0.2-beta , 1.0.1f及1.0.2-beta1(含)之前的舊版。最新釋出的1.0.1g及1.0.2-beta2則可修補該漏洞。

 

  另也有許多內含OpenSSL的作業系統受到影響,包括Debian Wheezy,Ubuntu 12.04.4 LTS,CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。