4月8日是微軟停止對XP進行支持的大日子，值得被全球用戶關注和銘記，但另一個極其重大的安全事件，卻有很多人還不知情，但對于所有人來說，這個事件，比XP影響大萬倍，那就是互聯網最基本的OPENSSL安全協議曝出重大漏洞，這個漏洞對于網購和在線銷售一族來說，是毀滅性的，直插心臟的，必須重視。目前各大網站都行動起來，積極修補漏洞，而黑客們也瘋狂起來，打時間差，在網絡中瘋狂掠奪資金。科杰在線www.yeewaa.com提示大家：對于普通網民來說：近期別用網銀和各種寶們購物才是最明智的。昨天這個漏洞遭曝光，但其實漏洞一直存在，只是沒人說出來而已，具體影響有多大，目前還未知。
　　
　　OpenSSL的協議中，剛剛曝光了一個“毀滅性”的安全漏洞，或暴露某些重量級服務的加密密鑰(cryptographickeys)和私有通信(privatecommunications)。如果你的服務器正在使用OpenSSL1.0.1f，請務必立即升級到OpenSSL1.0.1g。此外，1.0.1以前的版本不受此影響，但是1.0.2-beta仍需修復。
　　
　　Heartbleed.com已經披露了相關細節，指出該漏洞與OpenSSL傳輸層安全協議的“heartbeat”部分有關。該問題甚至比蘋果最近的SSLbug還要危險(因為這敞開了被惡意中間人攻擊的大門)。
　　
　　該bug是由安全公司Codenomicon和谷歌安全工程師獨立發現的，據了解國內大量網站存在該漏洞，網友更稱該漏洞為今年史上最強大的漏洞。
　　
　　安全協議OpenSSL今日爆出嚴重安全漏洞。該安全漏洞被稱為“心臟流血”（Heartbleed）。出現安全漏洞的版本OpenSSL1.01自2012年3月12日已推出。這意味著數以千萬計的網站已經具有潛在危險。OpenSSL在今年4月7日推出了OpenSSL1.01g，修復了這個漏洞。
　　
　　OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。
　　
　　OpenSSL存在的缺陷在于，使用某些最新OpenSSL版本的Web服務器會存儲一些不受內存保護的數據。黑客可以獲取這些數據，重建有關用戶或密鑰的信息，獲取用戶的加密數據。
　　
　　研究員表示，“任何人都可以利用這種漏洞在互聯網上獲取數據，而且場地不限，我可以在自己的辦公室，也可以在其他國家實現數據的盜用。”
　　
　　OpenSSL漏洞的消息一出，許多網站措手不及，未能及時采取補救措施。
　　
　　雅虎、Imgur和OKCupid等熱門網站都由于“心臟流血”漏洞受到攻擊。由于OpenSSL是Apache和NGINXWeb服務器的默認SSL/TLS證書，專家估計，多達三分之二的“安全”網站很容易通過Heartbleed漏洞受到攻擊。
　　
　　操作系統公司現在向客戶提供了OpenSSL的補丁。到目前為止，修復的Linux操作系統包括：CentOS，Debian，Fedora，RedHat，openSUSE和Ubuntu。SUSELinux企業服務器（SLES）沒有受到影響。
　　
　　全面解讀OpenSSL“心臟流血”漏洞
　　
　　什么是SSL？
　　
　　SSL是一種流行的加密技術，可以保護用戶通過互聯網傳輸的隱私信息。當用戶訪問Gmail等安全網站時，就會在URL地址旁看到一個“鎖”，同時網址前綴為https，瀏覽器地址欄一般也會變成黃色背景，表明你在該網站上的通訊信息都被加密。
　　
　　這個“鎖”表明，第三方無法讀取你與該網站之間的任何通訊信息。在后臺，通過SSL加密的數據只有接收者才能解密。如果不法分子監聽了用戶的對話，也只能看到一串隨機字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。
　　
　　SSL最早在1994年由網景推出，1990年代以來已經被所有主流瀏覽器采納。最近幾年，很多大型網絡服務都已經默認利用這項技術加密數據。如今，Google、雅虎和Facebook都在使用SSL默認對其網站和網絡服務進行加密。
　　
　　什么是“心臟出血”漏洞？
　　
　　多數SSL加密的網站都使用名為OpenSSL的開源軟件包。本周一，研究人員宣布這款軟件存在嚴重漏洞，可能導致用戶的通訊信息暴露給監聽者。OpenSSL大約兩年前就已經存在這一缺陷。
　　
　　工作原理：SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。
　　
　　研究人員發現，可以通過巧妙的手段發出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙，并發送服務器內存中的信息。
　　
　　該漏洞的影響大不大？
　　
　　很大，因為有很多隱私信息都存儲在服務器內存中。
　　
　　普林斯頓大學計算機科學家艾德·菲爾騰(EdFelten)表示，使用這項技術的攻擊者可以通過模式匹配對信息進行分類整理，從而找出密鑰、密碼，以及信用卡號等個人信息。
　　
　　丟失了信用卡號和密碼的危害有多大，相信已經不言而喻，但密鑰被盜的后果可能更加嚴重。這是信息服務器用于整理加密信息的一組代碼。如果攻擊者獲取了服務器的私鑰，便可讀取其收到的任何信息，甚至能夠利用密鑰假冒服務器，欺騙用戶泄露密碼和其他敏感信息。
　　
　　誰發現的這個問題？
　　
　　該漏洞是由Codenomicon和Google安全部門的研究人員獨立發現的。為了將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公布該問題前就已經準備好了修復方案。
　　
　　誰能利用“心臟流血”漏洞？
　　
　　“對于了解這項漏洞的人，要對其加以利用并不困難。”菲爾騰說。利用這項漏洞的軟件在網上有很多，雖然這些軟件并不像iPad應用那么容易使用，但任何擁有基本編程技能的人都能學會它的使用方法。
　　
　　當然，這項漏洞對情報機構的價值或許最大，他們擁有足夠的基礎設施來對用戶流量展開大規模攔截。我們知道，美國國家安全局(以下簡稱“NSA”)已經與美國電信運營商簽訂了秘密協議，可以進入到互聯網的骨干網中。用戶或許認為，Gmail和Facebook等網站上的SSL加密技術可以保護他們不受監聽，但NSA卻可以借助“心臟流血”漏洞獲取解密通訊信息的私鑰。
　　
　　雖然現在還不能確定，但如果NSA在“心臟流血”漏洞公之于眾前就已經發現這一漏洞，也并不出人意料。OpenSSL是當今應用最廣泛的加密軟件之一，所以可以肯定的是，NSA的安全專家已經非常細致地研究過它的源代碼。‘
　　
　　有多少網站受到影響？
　　
　　目前還沒有具體的統計數據，但發現該漏洞的研究人員指出，當今最熱門的兩大網絡服務器Apache和nginx都使用OpenSSL。總體來看，這兩種服務器約占全球網站總數的三分之二。SSL還被用在其他互聯網軟件中，比如桌面電子郵件客戶端和聊天軟件。
　　
　　發現該漏洞的研究人員幾天前就已經通知OpenSSL團隊和重要的利益相關者。這讓OpenSSL得以在漏洞公布當天就發布了修復版本。為了解決該問題，各大網站需要盡快安裝最新版OpenSSL。
　　
　　雅虎發言人表示：“我們的團隊已經在雅虎的主要資產中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財經、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了適當的修復措施，我們目前正在努力為旗下的其他網站部署修復措施。”
　　
　　Google表示：“我們已經評估了SSL漏洞，并且給Google的關鍵服務打上了補丁。”
　　
　　Facebook稱，在該漏洞公開時，該公司已經解決了這一問題。
　　
　　微軟發言人也表示：“我們正在關注OpenSSL問題的報道。如果確實對我們的設備和服務有影響，我們會采取必要措施保護用戶。”
　　
　　用戶應當如何應對該問題？
　　
　　不幸的是，如果訪問了受影響的網站，用戶無法采取任何自保措施。受影響的網站的管理員需要升級軟件，才能為用戶提供適當的保護。
　　
　　不過，一旦受影響的網站修復了這一問題，用戶便可以通過修改密碼來保護自己。攻擊者或許已經攔截了用戶的密碼，但用戶無法知道自己的密碼是否已被他人竊取。