主流网站均已修复心血漏洞.PDFVIP

当前文档由后花园网文自动生成，更多内容请访问 HTTP://WWW.HHYWW.NET 主流网站均已修复心血漏洞 来源于:北京晨报 互联网正面临大规模泄露用户信息的危险。4月8日，一个名为“心脏出血 ”的重要漏洞被爆出，漏洞一旦被黑客攻击，个人登陆账号、密码以及储存在 用户本地终端上的数据等都会被获取。截至昨日，腾讯、阿里巴巴、京东等多 家公司表示已对漏洞进行修复。据统计，此次在国内受影响的网站达到3万家。 淘宝天猫腾讯京东等都声明 4月8日夜间至4月9日凌晨，是阿里巴巴、腾讯、京东、360、12306等互联 网企业最为忙碌的一夜，众多安全技术人员“彻夜未眠”，与黑客争分夺秒对 网站漏洞进行修复。一位业内人员说，这一天足以载入史册。因为对于黑客而 言，每一秒钟都意味着金钱，他们会不惜一切抓紧时间抓取数据。 4月8日，一个名为openSSL基础网络传输软件被爆存在重大漏洞，这个漏洞 被命名为“心脏出血”，意味着该漏洞像心脏出血一样重大和急迫。黑客通过 该漏洞可以获取用户的登陆信息等众多敏感信息。据悉，由于openSSL软件一直 较好用且免费，有三成企业在构建网站时使用了这个软件。业内人士预计，有 3万家国内网站将受到影响。 截至昨日，阿里旗下的淘宝和天猫、腾讯、360、京东商城和当当网给北京 晨报记者发来声明称，已连夜对漏洞进行修复，用户可以正常使用。截止到记 者发稿，并未发现账户异常的情况。 在安全厂商知道创宇提供的“漏洞清单”中，记者看到已对漏洞进行修复 的网站包括12306、微信网页版和公众号、QQ邮箱、陌陌、雅虎、比特币中国、 支付宝、知乎、淘宝网、360应用等。而YY某服务的漏洞还未进行修复，而在截 至昨日下午4点半的清单中，未修复的网站还包括中国电信。 多数中小型网站未修复 4月9日上午，360网站卫士的OpenSSL漏洞检测平台发现，北京大学和清华 大学某项网络服务存在“心脏出血”漏洞，同时也监测到了有来自北京联通的 一个IP针对这些服务进行漏洞探测。 “大企业对修复漏洞比较积极，但是中小型网站却很难及时修复。”360副 总裁谭晓生表示，例如学校网站，截至目前大部分未进行漏洞修复。一部分是 由于其构架不能进行升级从而修复漏洞，另一方面则是由于安全人员未给予足 够的重视，这将给用户带来较大的风险。 据了解，黑客攻击“心脏出血”并不需要很高门槛，因为入侵代码已经被 公布。入侵者只要有足够的耐心和时间，就可以翻检足够多的数据，拼凑出户 主的银行密码、私信等敏感数据。据报道，一位安全行业人士透露，他在某知 名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名 、7个密码，用这些密码，他成功地登录了该网站。 专家提醒 7日、8日登过漏洞网站的用户将受影响 “4月7日、8日两天登录过存漏洞网站的用户将受到影响。”谭晓生表示 ，这部分用户可能多达1.5亿至2亿。 “在7日、8日登录过淘宝、微信、QQ邮箱、京东商城等网站的用户，在看 到修复公告后，应修改密码。”谭晓生提醒，对于没有发布已完成修复公告的 网站，用户应减少登陆，且不要着急修改密码。 金山毒霸安全专家李铁军也建议，尽可能开通手机验证或动态密码，登录 重要服务，不仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这 样就算黑客拿到账户密码，登录还有另一道门槛。安全专家建议，一个密码的 使用时间不宜过长，超过3个月就该换掉了。 手机APP登录会相对安全吗？谭晓生表示答案是否定的。“手机APP用到 openSSL软件的占到50%，我们扫描到一万多个网站有问题。”此外，360提醒用 户，简单识别网站应用是否采用SSL加密，只需要看浏览器地址栏是 http://，还是https://，以https://访问的网站就是用SSL