圖片來源: 

包括卡巴斯基實驗室、賽門鐵克與趨勢科技等資安業者都因應Heartbleed漏洞的出現,針對企業及消費者提出了建議。

企業部份:

由於OpenSSL已釋出OpenSSL 1.0.1g來修補Heartbleed漏洞,因此企業可聯繫軟體供應商詢問是否已更新軟體,任何使用過含有該漏洞的業者都必須假設已曾被駭客攻陷,因此應該要重新產生包含金鑰或密碼的各種機密資訊,在更新後也應置換各種憑證。

若無法即時取得更新軟體,業者可關閉OpenSSL上的heartbeat功能,諸如Apache或Nginx等系統在關閉該功能後必須重新啟動才會生效。

在完成修補後,企業也應該考慮是否要重新設定系統上所有使用者的密碼,以防曾被存取過。

消費者部份:

基本上消費者或一般使用者是無法解決heartbeat漏洞問題的,因為這並不是消費者的電腦或裝置的問題,而是網站或網路服務的問題。

不過,資安業者認為,消費者起碼要知道自己的資料可能已外洩,同時保持警覺,若服務供應商要求你變更密碼,請依照建議執行,並觀察自己的帳號是否有可疑的活動,主動變更像是電子郵件或金融服務等重要服務的密碼,以及使用最新的防毒軟體。

卡巴斯基實驗室列出已確定受到heartbeat漏洞影響的業者或產品,涵蓋Amazon、Fedora、FreeBSD、Google、Juniper Networks、NetBSD、Ubuntu及VMware等。(編譯/陳曉莉)

相關連結:

 賽門鐵克建議

 趨勢科技

 卡巴斯基

 


Advertisement

更多 iThome相關內容