OpenSSL爆出HeartBleed重大漏洞,為全球網路帶來重大威脅,被視為是網路有史以來最嚴重的漏洞。它的影響層面到底有多大目前還難以估計,但目前可知的是:受影響的絕不只有網路上的伺服器,這個漏洞可能存在於各種的網路設備與終端裝置,包括PC,甚至連Android手機都難以幸免。
美國系統網路安全研究院(SANS Institute)的資安專家Jake Williams周四(4/8)透過網路簡報分析這個漏洞的影響,說明有那些裝置可能含有這個漏洞,壞消息是,包括手機和PC都可能受到影響。
Jake Williams的簡報檔案可以在此下載。
Willams指出,HeartBleed比之前蘋果加密軟體被發現的gotofail漏洞更危險,而且可能在公諸於大眾之前,駭客早已經知道漏洞。他指出,網路資料的安全性靠的是伺服器憑證做保護,但伺服器憑證可能已經外洩。攻擊者只要感染伺服器的私密金鑰,就可以解密先前所記錄的流量。另一方面,利用受感染的伺服器還可以執行中間人攻擊。
如果用戶的電腦、手機、家用路由器等裝置端存有OpenSSL有HeartBleed漏洞,惡意伺服器只要傳送一段包含惡意程式的訊息到用戶端,就能輕易從系統記憶體中取得64KB的重要資訊,包括使用者密碼及加密金鑰。
唯一的好消息是,Windows 上的Chrome、Firefox、IE全都使用Windows 的加密建置,這與OpenSSL無關,而IIS伺服器也確認沒有漏洞。然而,Windows上可能也會有其他使用第三方Python/Perl/Ruby OpenSSL 函式庫的程式,使得Windows中也有可能有些程式因此而存在OpenSSL的這個漏洞,因此細節還必需與各別的業者一一確認。
Android則確認有部份版本是有該漏洞的,換句話說,現在最為普及的Android手機以及平板電腦都有可能含有此漏洞。Willams在簡報中表示,Android裝置製造商是否會為舊版的Android進行更新以修補漏洞,就不得而知。另外,Linux版的瀏覽器是否有漏洞則還有待查證。
在Android方面,Google已經確認,Android 4.1.1在免疫名單之外,Google並且已經把修補後的Android 4.1.1遞交予Android合作夥伴,只是必需等到廠商釋出更新之後消費者才能夠修補該漏洞。iOS裝置則確認安全,蘋果發言人今日在媒體詢問時發出聲明稿指出:「蘋果對安全甚為重視。iOS及OS X從未包含這款有漏洞的軟體,而主要的網路服務(即iCloud)也未受到影響。」
Willams還提醒,許多使用OpenVPN的企業必需小心,因為這已經確定含有漏洞。這些企業的員工,很可能在不安全的網路環境(如公共Wi-Fi)連網,因此建議企業務必立即修補該漏洞。
The Register引述Williams指出,如果Windows用戶端程式是根據有問題的OpenSSL版本來編譯,將更難找到Heartbleed漏洞,更別提還有其他走「非port 443」的軟體,如email伺服器、資料庫、LDAP等等。他認為,安全滲透測試人員可能要和這個漏洞「奮戰到2020年」。(編譯/林妍溱)
Williams所附的受影響廠商名單連結,簡單整理如下:
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
