OpenSSL 小組日前對外發出緊急通知,由於在 OpenSSL 1.0.2d 及 1.0.1p 上發現可被黑客遠端遙控、發動 DoS 攻擊與外洩記憶體資料的高風險漏洞,故將於 7 月 9 日推出上述兩個版本的更新,以堵塞相關漏洞。
openssl
日前 unwire.pro 曾報道威脅 SSL 安全的 「怪胎」FREAK 漏洞的影響原只涉及 Android、iOS 及 OSX,但 Microsoft 日前調查後發表通告,證實所有 Windows 版本均受 FREAK 波及,並建議用戶於 Microsoft 推出修補程式前暫時關閉 RSA 的出口金鑰功能。
日前由專業資安研究人員組成的研究計畫 miTLS 發現多個 SSL 漏洞,其中一個讓黑客能夠對 Android、iOS 與 Mac OSX 系統進行 XSS 攻擊,大片用戶頓受威脅。
被廣泛使用的 OpenSSL 日前推出更新,以堵塞 8 個新發現的漏洞,當中兩個更可直接被黑客以 DoS 攻擊。故此 unwire.pro 亦建議各位伺服器管理員儘快為旗下服務套用最新的更新檔。
從前,Google 在每個 OpenSSL 推出更新後,均會在將其重新修訂中加入自家的補丁。Google 在剛過去的週末,公布了他們以 OpenSSL 原始碼改編的最新計劃 - BoringSSL,藉此可以免卻了兩者的追逐戰。
OpenSSL 再被發現漏洞,但是次的漏洞與近期被發現的 Heartbleed 無關;因為此漏洞自 1998 起就存在於 OpenSSL 內。據 Google 軟件工程主任 Adam Langley 指此漏洞已存在於 OpenSSL 的編碼中至少 15 年,並對 OpenSSL 團隊長久以來均未能發佈此重大漏洞表示遺憾。他續指此漏洞的危險程度仍大不如 Heartbleed,而若黑客欲使用此漏洞,亦需要確保對像正使用網頁瀏覽器或其他有使用 SSL 協議的程式。
Heartbleed 漏洞在一個月後仍影響全球 318,239 台伺服器,雖然相比 2,000 萬台採用 SSL 的伺服器總數而言不算很大比例,但仍然為全球使用者帶來不少保安危機。
