Heartbleed 漏洞發現至今已接近一個月,但不代表它的影響已經消失。根據保安資訊網站 Errata Security 數字,Heartbleed 漏洞在一個月後仍影響全球 318,239 台伺服器,雖然相比 2,000 萬台採用 SSL 的伺服器總數而言不算很大比例,但仍然為全球使用者帶來不少保安危機。
仍有五成受影響系統未處理
保安專家 Robert David Graham 在網誌上表示,上月發現該漏洞時他掃描了全球的伺服器,結果發現 100 萬台伺服器系統受到 Heartbleed 漏洞影響,但就只有約三分一有即時處理問題。據報導,Heartbleed 漏洞曝光後包括 Google、Facebook、YouTube、Pinterest、Wikipedia、Twitter、LinkedIn 和 Bing 等大公司,已紛紛緊急對該漏洞進行了修復。
Errata Security 以 Port 443 掃描全球 IPv4 地址的 150 萬台伺服器,發現相比一個月前掃描的 60 萬台伺服器涉及該 OpenSSL 漏洞,今天已減少至 318,239 台,大幅減少四成七,但相信這班未能改善的伺服器,因各自的問題而未能升級修補下,全面封鎖此漏洞的日程將相當緩慢,而且實際上沒有修復這漏洞的伺服器數量肯定更多。
Heartbleed漏洞利用了網頁加密機制 OpenSSL 的漏洞,可讓黑客輕鬆盜取用戶系統訊息,包括用戶名、密碼或者其他敏感數據。此外黑客還可以借助漏洞來盜取伺服器認證密鎖,從而複製一個合法伺服器騙取用戶信任,使其放棄自己的用戶名和密碼。IT 管理人員應從速檢查機構伺服器有否上述漏洞,以免黑客入侵造成損失。
