openssl

OpenSSL 小組日前對外發出緊急通知，由於在 OpenSSL 1.0.2d 及 1.0.1p 上發現可被黑客遠端遙控、發動 DoS 攻擊與外洩記憶體資料的高風險漏洞，故將於 7 月 9 日推出上述兩個版本的更新，以堵塞相關漏洞。

日前 unwire.pro 曾報道威脅 SSL 安全的 「怪胎」FREAK 漏洞的影響原只涉及 Android、iOS 及 OSX，但 Microsoft 日前調查後發表通告，證實所有 Windows 版本均受 FREAK 波及，並建議用戶於 Microsoft 推出修補程式前暫時關閉 RSA 的出口金鑰功能。

日前由專業資安研究人員組成的研究計畫 miTLS 發現多個 SSL 漏洞，其中一個讓黑客能夠對 Android、iOS 與 Mac OSX 系統進行 XSS 攻擊，大片用戶頓受威脅。

被廣泛使用的 OpenSSL 日前推出更新，以堵塞 8 個新發現的漏洞，當中兩個更可直接被黑客以 DoS 攻擊。故此 unwire.pro 亦建議各位伺服器管理員儘快為旗下服務套用最新的更新檔。

從前，Google 在每個 OpenSSL 推出更新後，均會在將其重新修訂中加入自家的補丁。Google 在剛過去的週末，公布了他們以 OpenSSL 原始碼改編的最新計劃 - BoringSSL，藉此可以免卻了兩者的追逐戰。

OpenSSL 的 Heartbleed 漏洞被揭發至今已超過兩個月，但原來仍有為數不少，多達 30 萬種的網絡服務依然受 Heartbleed 威脅。

OpenSSL 再被發現漏洞，但是次的漏洞與近期被發現的 Heartbleed 無關；因為此漏洞自 1998 起就存在於 OpenSSL 內。據 Google 軟件工程主任 Adam Langley 指此漏洞已存在於 OpenSSL 的編碼中至少 15 年，並對 OpenSSL 團隊長久以來均未能發佈此重大漏洞表示遺憾。他續指此漏洞的危險程度仍大不如 Heartbleed，而若黑客欲使用此漏洞，亦需要確保對像正使用網頁瀏覽器或其他有使用 SSL 協議的程式。

Heartbleed 漏洞在一個月後仍影響全球 318,239 台伺服器，雖然相比 2,000 萬台採用 SSL 的伺服器總數而言不算很大比例，但仍然為全球使用者帶來不少保安危機。