汕尾信息港

当前位置: 首页 >时尚

猎豹移动安全预警OpenSSL出现新漏洞

来源: 作者: 2019-05-15 07:09:12

3月4日,猎豹移动安全实验室(原金山毒霸)发布安全正告,开源软件OpenSSL又爆出新漏洞Tracking the FREAK Attack(CVE-)。目前已知国内多个站搜狐、苏宁、Smzdm等存在该漏洞,如果用户在不安全的络下访问这些站,可能被盗取账号密码、被迫访问钓鱼站等。

据介绍,该漏洞存在于OpenSSL的通讯协商处理方式上。在用户客户端与存在漏洞的站建立连接时(包括页访问和APP访问),如果络安全较差,典型情况如免费WIFI络,则黑客可以通过修改协商的关键数据包,强迫服务器和用户之间使用安全度较低的加密方式,然后再通过暴力破解,来窃取用户的重要密码;或者修改两者之间的数据连接,引诱用户访问钓鱼站。

从技术角度讲,黑客想利用该漏洞需要两个必要条件:1、目标站存在OpenSSL漏洞,加密协商方式存在缺点,致使协商方式可能会被黑客篡改;2、OpenSSL的低级别加密套件默许打开。比如有些站使用的IISweb服务器,其低级加密套件就默认处于打开状态,加密长度仅有40位,很容易被黑客暴力破解。

(加密套件安全度对比图)

针对该漏洞猎豹安全专家建议,可以采取以下措施来弥补漏洞:

黑客要想利用该漏洞进行攻击,需要服务器和用户客户端都支持低版本的加密套件。禁止服务器和客户端任意一方的不安全套件都能防止被攻击。对于存在漏洞的站,可以在服务器端制止低级安全套件;作为普通用户,可以使用安全的浏览器(比如猎豹安全浏览器),便可免受该漏洞的攻击。

子宫内膜炎吃什么药
白带脓性是怎么回事呢
外阴瘙痒用什么治

相关推荐