本專題二維碼

導讀

2014年4月7日,OpenSSL發布了安全公告,在OpenSSL1.0.1版本中存在嚴重漏洞(CVE-2014-0160),這也是本年度最嚴重的安全漏洞。據谷歌和網絡安全公司Codenomicon的研究人員透露,OpenSSL加密代碼中一種名為Heartbleed的漏洞存在已有兩年之久。該漏洞能夠泄露服務器內存中的內容,而這其中包含了一些最敏感的數據,例如用戶名、密碼和信用卡號等隱私數據。目前已有業內人士表示,利用這一漏洞獲得了雅虎用戶的密碼。

事件的發生

Heartbleed來勢洶洶:網絡上最危險的安全漏洞

來自OpenSSL的緊急安全警告:OpeonSSL出現"Heartbleed"安全漏洞。這一漏洞讓任何人都能讀取系統的運行內存。目前已經有了一個緊急補丁,在安裝它之前,成千上萬的服務器都處于危險之中。...[詳情]

誰應該為"心臟滴血"負主要責任?

到底誰該為"心臟滴血"漏洞負責,這是安全界最近爭論的焦點之一。大家眾說紛紜,靠譜的不靠譜的,說什么的都有。就在這個時候,Seggelmann說,你們都別吵了,那段OpenSSL問題代碼就是我寫的...[詳情]

后果很嚴重

Forrester Research最新報告:Heartbleed影響很大

根據該報告,Heartbleed漏洞造成的影響非常大。企業必須考慮到任何會用到OpenSSL易受攻擊版本的個人版和企業版計算系統都必須考慮到其安全證書可能已遭到破壞,而需要修復。...[詳情]

"心臟滴血"可能引發DDoS攻擊嗎?

至少在當下,利用"心臟滴血"漏洞發動DDoS攻擊的可能性不大。但是Lyon提醒,當下的結論只是當下的猜測,不排除在不遠的將來有人會利用類似的漏洞發起DDoS攻擊。...[詳情]

HeartBleed漏洞波及范圍極大

容易造成如此大面積信息泄露的漏洞,卻無法提前防范。Heartbleed是一個Oday漏洞,即在知曉并發布相關補丁前就被掌握或者公開的漏洞信息。...[詳情]

"Heartbleed安全漏洞動搖互聯網根基

一個名叫Heartbleed的網絡安全漏洞已經存在了兩年多時間。業內人士估計,在此期間,三分之二的網站都暴露在危險之中。...[詳情]

廠商忙修補

普通用戶如何應對Heartbleed漏洞?

Heartbleed風波過后,一大問題是互聯網公司會否改變它們的安全措施。很多大型互聯網公司都已經轉向了PFS(完全正向保密)技術——它能讓密鑰的保存時間變得很短,是未來的一個發展方向...[詳情]

思科Juniper承認路由器存在"心血"漏洞

被稱為"心血"的高風險加密漏洞并非只影響網站,思科與Juniper兩家設備廠商日前表示,自己的部分網絡硬件產品上也出現了這類漏洞...[詳情]

Check Point提供多種安全保護抗擊Heartbleed漏洞

Check Point采用了OpenSSL的不易受攻擊版本,因此其網絡安全產品不受Heartbleed漏洞感染。此外,CheckPoint還提供多種保護措施,可防止來自Heartbleed漏洞的攻擊...[詳情]

OpenSSL Heartbleed漏洞修復工作耗時長

(CVE-2014-0160),這也是本年度最嚴重的安全漏洞。據谷歌和網絡安全公司Codenomicon的研究人員透露,OpenSSL加密代碼中一種名為Heartbleed的漏洞存在已有兩年之久。該漏洞能夠泄露服 務器內存中的內容...[詳情]

專家稱"夸大了Heartbleed"危害

專家測試稱夸大了該OpenSSL漏洞的嚴重程度

Dixon表示:"從我執行滲透測試和漏洞評估的經驗來看,我們經常可以看到在這種底層基礎設施中,很多第三方補丁存在滯后性,而在這種情況下,這種滯后性可以幫助一些企業。"...[詳情]

HeartBleed漏洞:血淋淋的外表下卻是一片祥和

物理隔絕的封閉網絡沒有那么多的用戶、沒有那么多的應用、沒有討厭的黑帽子和白帽子。由于缺乏在光天化日之下的考驗,缺乏與攻擊者的共同進化,封閉網絡存在的安全漏洞與開放網絡相比一定過之而無不及。...[詳情]