OpenSSL出现新漏洞 多个著名网站可能受影响#CVE-2015-0204#
3月4日,猎豹移动安全实验室(原金山毒霸)发布安全警告,著名开源软件OpenSSL又爆出新漏洞Tracking the FREAK Attack(CVE-2015-0204)。目前已知国内多个著名网站搜狐、苏宁、Smzdm等存在该漏洞,如果用户在不安全的网络下访问这些网站,可能被窃取账号密码、被迫访问钓鱼网站等。
据介绍,该漏洞存在于OpenSSL的通讯协商处理方式上。在用户客户端与存在漏洞的网站建立连接时(包括网页访问和APP访问),如果网络安全较差,典型情况如免费WIFI网络,则黑客可以通过修改协商的关键数据包,强迫服务器和用户之间使用安全度较低的加密方式,然后再通过暴力破解,来窃取用户的重要密码;或者修改两者之间的数据连接,诱导用户访问钓鱼网站。
从技术角度讲,黑客想利用该漏洞需要两个必要条件:
1、目标网站存在OpenSSL漏洞,加密协商方式存在缺陷,导致协商方式可能会被黑客篡改;
2、OpenSSL的低级别加密套件默认打开。比如有些网站使用的IISweb服务器,其低级加密套件就默认处于打开状态,加密长度仅有40位,很容易被黑客暴力破解。
(加密套件安全度对比图)
针对该漏洞猎豹安全专家建议,可以采用以下措施来弥补漏洞: 黑客要想利用该漏洞进行攻击,需要服务器和用户客户端都支持低版本的加密套件。禁止服务器和客户端任意一方的不安全套件都能防止被攻击。对于存在漏洞的网站,可以在服务器端禁止低级安全套件;作为普通用户,可以使用安全的浏览器(比如猎豹安全浏览器),即可免受该漏洞的攻击。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 推动西部大开发是一项世纪工程 4924957
- 2 习近平会见布林肯:中美应该做伙伴 4964453
- 3 神十八升空后仅1分钟基地狂风大作 4826575
- 4 “巨龙”腾飞逐天宫 4701803
- 5 女留学生澳大利亚失联在泰国被找到 4663101
- 6 中美达成五点共识 4596037
- 7 多地小店售卖创可贴、风油精被查 4489034
- 8 美国男子强奸14岁少女被判物理阉割 4392356
- 9 上海人口流失解除落户限制不实 4291517
- 10 向太浴室摔倒致大腿骨断裂 4188796