北京時間6月6日消息，本周四，OpenSSL基金會發(fā)布警告稱，一個已存在10年的漏洞可能導致黑客利用通過OpenSSL加密的流量發(fā)動“中間人”攻擊。

信息安全專家目前仍試圖解決OpenSSL加密協(xié)議中的“心臟流血”漏洞。根據(jù)AVG Virus Labs的數(shù)據(jù)，目前仍有1.2萬個熱門域名存在這一漏洞。而根據(jù)OpenSSL基金會此次發(fā)布的消息，黑客可能利用新漏洞去攔截加密流量，對其進行解密，隨后閱讀流量中的內容。

OpenSSL的用戶被建議安裝新的補丁，并升級至OpenSSL軟件的最新版本。這一漏洞的發(fā)現(xiàn)者是軟件公司Lepidum的日本研究員Masashi Kikuchi。Lepidum的網(wǎng)站上顯示：“當服務器和客戶端都存在漏洞時，攻擊者可以竊聽及偽造你的通信。”

與能夠導致服務器直接受到攻擊的“心臟流血”漏洞不同，這一新漏洞要求黑客位于兩臺通信的計算機之間。例如，使用機場公開WiFi的用戶可能成為被攻擊目標。

這一漏洞自1998年OpenSSL首次發(fā)布以來就一直存在。而“心臟流血”漏洞是在2011年新年OpenSSL進行升級時引入的。

這一漏洞在長達十幾年的時間內一直沒有被發(fā)現(xiàn)，這再次表明了OpenSSL管理的缺陷。OpenSSL是開源的，這意味著任何人都可以對其進行評估及更新。由于這一原因，OpenSSL被認為比某家公司開發(fā)的私有代碼更安全、更可信。

但實際上，OpenSSL在歐洲只有1名全職開發(fā)者，以及3名“核心”的志愿程序員，其運營依靠每年2000美元的捐贈。不過，OpenSSL仍被用于加密全球大部分網(wǎng)站的服務器，并被亞馬遜和思科等大公司廣泛使用。

在“心臟流血”漏洞被發(fā)現(xiàn)之后，包括亞馬遜、思科、戴爾、Facebook、富士通、谷歌、IBM、英特爾、微軟、NetApp、Rackspace、高通和VMware在內的公司都承諾在未來3年內每年投入10萬美元，用于Core Infrastructure Initiative項目。這一新的開源項目由Linux基金會牽頭，用于支撐OpenSSL等關鍵的開源基礎設施。(維金)