Heartleed帶來的傷痛還記憶猶新，這才過去幾周時間，OpenSSL 密碼庫的一個漏洞又讓全球網(wǎng)民陷入恐慌。

黑客可能利用這個漏洞披露安全連接的內(nèi)容——如密碼和信用卡交易。但更糟糕的是，另一個漏洞的發(fā)現(xiàn)帶給網(wǎng)民的恐懼如同雪上加霜，就在爆出openssl漏洞的幾周后，又爆出了OAuth和OpenID的漏洞。

據(jù)一名研究人員描述，事情還遠(yuǎn)沒有就此結(jié)束。

有幾百萬基于Java的，以及其他開源應(yīng)用都存在已知漏洞，有些漏洞都已經(jīng)曝出有幾年時間了，他警告稱。甚至直到今天，仍然有人在下載這些應(yīng)用。

Sonatype的Brian Fox在周三解釋道，盡管許多項目都對漏洞進(jìn)行了回應(yīng)，且能迅速推出漏洞補(bǔ)丁，但問題是用戶不會快速響應(yīng)及時下載補(bǔ)丁來修復(fù)。

“更何況，攻擊者都是通過相同機(jī)制來標(biāo)識的，即，漏洞被發(fā)現(xiàn)和修補(bǔ)后，他們就具有先動優(yōu)勢，因為通常利用漏洞比更新應(yīng)用框架要容易些。，”他寫道。

在一些案例中，成百上千受影響的常用Java應(yīng)用被數(shù)以千計的組織下載。

他說，受影響的Struts，一款廣泛使用的應(yīng)用框架， 9個月的時間里被一萬多個組織下載了80500次以上，而它就有一個重要的原創(chuàng)代碼執(zhí)行漏洞。

與此同時，盡管Bouncy Castle仍然是Java密碼運(yùn)算法則中最受歡迎的安全屋，但它也包含一個漏洞，攻擊者可利用這個漏洞來破壞自漏洞曝光五年內(nèi)，20000多次下載所產(chǎn)生的加密數(shù)據(jù)。據(jù)稱，超過4千家組織正在使用有漏洞的版本。

“這等于是把你想加密的東西曝光，”他說。

Heartbleed可能嚇到了很多IT組織，但Fox警告稱，還有很多開源應(yīng)用并沒有得到及時更新。

他暗示道，這種狀況可能導(dǎo)致另一場Heartbleed式的攻擊。