北京時間4月9日早間消息，OpenSSL一個名為“Heartbleed”的漏洞周一曝光。利用這一漏洞，攻擊者可以獲取用戶的密碼，或欺騙用戶訪問釣魚網(wǎng)站。目前已有業(yè)內(nèi)人士表示，利用這一漏洞獲得了雅虎用戶的密碼。

OpenSSL是一款開源軟件，被廣泛用于在線通信的加密。HeartBeat漏洞能夠泄露服務(wù)器內(nèi)存中的內(nèi)容，而這其中包含了一些最敏感的數(shù)據(jù)，例如用戶名、密碼和信用卡號等隱私數(shù)據(jù)。此外，攻擊者可以獲得服務(wù)器數(shù)字密鑰的拷貝，從而模仿這些服務(wù)器，或是對用戶通過服務(wù)器的通信進行解密。

這一信息安全漏洞尤為嚴重。如果希望修復(fù)這一漏洞，那么網(wǎng)站將被迫進行大幅調(diào)整，此外任何使用OpenSSL的用戶都必須修改密碼，因為這些密碼可能已被竊取。由于越來越多人依賴在線服務(wù)，并在多個網(wǎng)站中重復(fù)使用同一密碼，因此這將帶來大問題。

信息安全公司Fox-IT的羅納德·普林斯(Ronald Prins)通過Twitter表示：“我們已通過Heartbleed漏洞獲得了雅虎的一個用戶名和密碼。”而另一名開發(fā)者斯科特·加洛維(Scott Galloway)表示：“運行Heartbleed腳本5分鐘時間，就獲得了雅虎電子郵箱的200個用戶名和密碼。”

雅虎周一晚些時候宣布，已修復(fù)了主要網(wǎng)站的這一漏洞。目前雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經(jīng)、雅虎體育、雅虎食品、雅虎科技、Flickr和Tumblr等網(wǎng)站上的漏洞已經(jīng)修復(fù)，而雅虎正在解決其他網(wǎng)站的問題。不過雅虎并未告知用戶應(yīng)當采取什么措施，以及這一漏洞對用戶造成了什么影響。

加密學專家菲利普·瓦爾索達(Filippo Valsorda)發(fā)布了一款工具，幫助用戶檢查網(wǎng)站上是否存在Heartbleed漏洞。這一工具顯示，谷歌、微軟、Twitter、Facebook、Dropbox和其他多家網(wǎng)站都沒有這一問題，但雅虎不在其中。測試中出現(xiàn)問題的其他網(wǎng)站還包括Imgur、OKCupid和Eventbrite等。

這一漏洞的正式名稱為CVE-2014-0160。漏洞影響了OpenSSL的1.0.1和1.0.2測試版。OpenSSL已經(jīng)發(fā)布了1.0.1g版本，以修復(fù)這一問題，但網(wǎng)站對這一軟件的升級還需要一段時間。不過，如果網(wǎng)站配置了一項名為“perfect forward secrecy”的功能，那么這一漏洞的影響將被大幅減小。該功能會改變安全密鑰，因此即使某一特定密鑰被獲得，攻擊者也無法解密以往和未來的加密數(shù)據(jù)。