OpenSSL出现新漏洞 多个著名网站可能受影响#CVE-2015-0204#

3月4日，猎豹移动安全实验室（原金山毒霸）发布安全警告，著名开源软件OpenSSL又爆出新漏洞Tracking the FREAK Attack（CVE-2015-0204）。目前已知国内多个著名网站搜狐、苏宁、Smzdm等存在该漏洞，如果用户在不安全的网络下访问这些网站，可能被窃取账号密码、被迫访问钓鱼网站等。 据介绍，该漏洞存在于OpenSSL的通讯协商处理方式上。在用户客户端与存在漏洞的网站建立连接时（包括网页访问和APP访问），如果网络安全较差，典型情况如免费WIFI网络，则黑客可以通过修改协商的关键数据包，强迫服务器和用户之间使用安全度较低的加密方式，然后再通过暴力破解，来窃取用户的重要密码；或者修改两者之间的数据连接，诱导用户访问钓鱼网站。 从技术角度讲，黑客想利用该漏洞需要两个必要条件： 1、目标网站存在OpenSSL漏洞，加密协商方式存在缺陷，导致协商方式可能会被黑客篡改； 2、OpenSSL的低级别加密套件默认打开。比如有些网站使用的IISweb服务器，其低级加密套件就默认处于打开状态，加密长度仅有40位，很容易被黑客暴力破解。

（加密套件安全度对比图）

针对该漏洞猎豹安全专家建议，可以采用以下措施来弥补漏洞： 黑客要想利用该漏洞进行攻击，需要服务器和用户客户端都支持低版本的加密套件。禁止服务器和客户端任意一方的不安全套件都能防止被攻击。对于存在漏洞的网站，可以在服务器端禁止低级安全套件；作为普通用户，可以使用安全的浏览器（比如猎豹安全浏览器），即可免受该漏洞的攻击。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/