最近一項調查針對全球各大頂尖企業(yè)的公共Web服務器作出評估，并指出目前只有3%的設備已經(jīng)徹底擺脫OpenSSL漏洞、也就是Heartbleed的威脅。

[[117163]]

此次研究由安全專業(yè)機構Venafi實驗室負責執(zhí)行，涵蓋《福布斯》評選出的全球企業(yè)2000強中1639家的約55萬臺服務器設備。調查結果顯示，已經(jīng)有99%的企業(yè)針對Heartbleed數(shù)據(jù)泄露漏洞安裝過修復補丁。

然而Venafi強調稱，其中只有15000臺安裝過補丁的服務器進行了私用密鑰修改并利用新的SSL證書取代了原有安全憑證。根據(jù)我們掌握的情況，鑒于Heartbleed漏洞可被用于竊取受害計算機內存中的私用密鑰，用戶應該以服務器密鑰及證書已經(jīng)遭到破壞為假設性前提推進保護措施。

“解決此類安全問題的流程不再像過去那樣簡單而直觀，”Venafi實驗室安全戰(zhàn)略與威脅情報事務副總裁Kevin Bocek在接受采訪時指出。“大家不能單純在安裝了補丁之后就認為自己可以高枕無憂。”

他指出，此次曝出的OpenSSL漏洞自兩年前開始就已經(jīng)被惡意人士們實際利用，但直到今年四月才真正引起安全行業(yè)的警覺。在此期間，企業(yè)用戶的密碼內容很可能已經(jīng)被攻擊者們所掌握，此外加密密鑰與證書數(shù)據(jù)也可能已經(jīng)被用于偽裝虛假的企業(yè)服務器。

Bocek表示，在不面向公眾的服務器設備方面事態(tài)可能更加糟糕。而且在大多數(shù)情況下，處于企業(yè)防火墻內部的服務器設備還沒有安裝過足以對抗Heartbleed漏洞的補丁。

說到已經(jīng)徹底將Heartbleed漏洞踢出業(yè)務環(huán)境之外的企業(yè)，計算機服務廠商的表現(xiàn)無疑最為突出，緊隨其后的依次為廣播公司、銀行以及半導體行業(yè)。