10日，安全人員又發現了Heartbleed漏洞的蹤跡，利用該漏洞的攻擊者可獲取用戶密碼，并誘使用戶訪問偽造的網站。

FreeBuf 百科

Heartbleed漏洞（CVE-2014-0160，CNNVD-201404-073）是OpenSSL中的一個重大安全漏洞，2014年4月7號，由國外黑客曝光。該漏洞可以讓攻擊者獲得服務器上64K內存中的數據內容。由于使用OpenSSL的源代碼的網站數量巨大，因此該漏洞影響十分嚴重。　　　　　　　　

OpenSSL是一個強大的安全套接字層密碼庫，包括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議，并提供豐富的應用程序供測試或其它目的使用。　　

漏洞詳情

該漏洞存在于OpenSSL中，可以泄露服務器的內存內容，其中包含大量主機托管數據等敏感信息，如用戶名、密碼和信用卡號碼等。另外，攻擊者還可以復制服務器的數字密鑰，隨后偽造服務器或解密通信。

安全人員RonaldPrins對雅虎網站進行測試證實，攻擊者可以借助Heartbleed漏洞獲取用戶名和密碼。Scott Galloway發表推文稱，運行5分鐘的Heartbleed代碼就可以獲取200對雅虎郵箱的用戶名和密碼。

解決方案

雅虎稱已在其主網站上修復了該漏洞，其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外，其安全團隊正在其余網站上實現該修復。但是，雅虎還沒有為用戶提供相關的安全建議。

加密技術顧問FilippoValsorda研發了一種工具，可供用戶在網站中檢測Heartbleed漏洞。目前已檢測到Google、Microsoft、Twitter、Facebook、Dropbox等主流網站不受該漏洞影響，而有一些網站如Imgur、OKCupid和Eventbrite等受該漏洞影響。

根據OpenSSL發布的公告，該漏洞影響OpenSSL 1.0.1版本和1.0.2-beta版本，并且已經發布了1.0.1g版本修復該漏洞。網絡運營商需要升級該軟件，并撤銷可能已經被攻擊者控制的證書。

本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的“心脏出血”漏洞可导致密码泄露的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。