最新 OpenSSL 漏洞讓網路服務商「內心淌血」...

圖片引用來源：HeartBleed OpenSSL 漏洞說明網頁；原文引用來源：The Verge、CNET

禮拜一中午時分，一個相當嚴重的漏洞向整個 IT 業界丟了一顆震撼彈；這個被命名為「HeartBleed」的漏洞，主要發生在 OpenSSL 這套伺服器中相當常見的軟體（據說市佔達 2/3，包括 Apache 及 Nginx 當中都有 OpenSSL），讓有心人士能夠趁虛而入，自伺服器中竊取大量的工作記憶體；目前雖然已經有修補方案推出，不過由於受影響的規模甚大，要完成所有伺服器的修正，恐怕需要一段時間，若加密金鑰已經被取得，那恐怕更是要花上數個月才可能處理完畢，因伺服器重設憑證不僅耗時，同時成本也相當高。

此外更有人分析，這次 HeartBleed 影響的廣度遠比蘋果 iOS 當中的 GoToFail 要大甚多，透過該漏洞，一次可以擷取工作記憶體中 64kb 的資料量，還可以跟釣魚一樣無限次重複，也因此相當有可能撈到該伺服器的私有加密金鑰（private encryption keys），一到上鉤，就可以從中攔截更多加密資料。

同時該漏洞存在的時間恐怕已經超過兩年之久，也因此有不少大小網路服務提供者受影響，包括 Yahoo（稍早他們對外公佈，大部分主要服務 Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr 及 Tumblr 已經完成 Open SSL 的修正）、Imgur、LastPass 等，蘋果、Google、微軟似乎沒有在受影響名單當中，絕大部分網銀似乎也沒有中槍。（不過台灣的狀況目前還不太清楚...）

不過各位這幾天甚至往後幾個月都還是必須小心謹慎，近期最好頻繁更新密碼，若覺得自己的任何帳戶有異常狀況，最好盡快與服務提供者聯繫，如果客服知道這是怎麼一回事。

相關閱讀：

• 蘋果 SSL 漏洞影響範圍比想像中大，Mac OS X Mavericks 亦需注意…
• 蘋果釋出安全性更新 Security Update 2014-001，建議使用者立即服用
• 激萌五歲正太玩出 Xbox Live 登入程序漏洞，並被微軟表彰為安全研究人員

延伸閱讀：

• 不能保證但依然可以嘗試的一鍵 Root APP
• 臉很髒就用這個洗還滿方便der
• 看各種第四台最方便的Android App