OpenSSL“心脏流血”肆虐 专家称应尽快修复升级

DoNews 4月9日消息（记者 余维维）4月8日晚，安全协议OpenSSL爆出本年度最严重的安全漏洞“Heartbleed（心脏流血）”，通过该漏洞，将可能导致用户的大量隐藏数据被盗。有专家建言，各大互联网服务商应尽快进行版本升级，且在升级完成前，用户尽可能不去登陆或进行交易活动。

据了解，OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

在过去两年中，被许多企业和服务用来加密数据的安全协议OpenSSL一直存在该漏洞，黑客可以利用该漏洞从服务器内存中窃取64KB数据。

对于国内用户而言，一些知名的购物、网银、社交、门户、微博、微信、邮箱等服务都将受到该漏洞的影响，黑客可多次盗取以https开头网址的用户登录账号密码，根据模式匹配对信息进行分类，找出密钥、密码以及信用卡账号等个人信息。

针对此次OpenSSL漏洞，有专家建言，作为各大互联网服务商可效仿国外知名云平台厂家Heroku的做法，尽快升级OpenSSL，并在升级后提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。

作为用户，则应该在服务商更新的2-3天内，谨慎的访问https网站，尽可不去登录或者进行任何与支付相关的活动。等到3天之后，或着相关网站明确说明漏洞修复了，再继续使用其服务。

目前，针对OpenSSL的问题，淘宝、天猫已经在第一时间进行了处理和修补，并已处理完毕。当当网方面则表示，目前并未收到任何有关此漏洞的信息，客服也未接到相关投诉，具体细节还需与技术进行了解。

此外，多家网站均表示，该漏洞对其并未造成太大影响，且相关技术人员已经做好技术升级，用户可正常访问使用网站服务。（完）