众多电商紧急修复互联网“心脏出血”漏洞(图)

　　“心脏出血”漏洞威胁巨大

　　世界上大约2/3的网络服务器正在使用安全协议OpenSSL，由于“心脏出血”漏洞的存在，互联网上的任何人都可以通过此漏洞读取系统保护内存，获取用户名和密码。黑客可实时获取用户登录账号密码，范围涉及大批网银、购物网站、电子邮件等。

　　中外各大网站开始紧急修复，亚马逊、雅虎都升级系统、打好补丁;国内涉及支付的电商们速度更快，阿里巴巴表示，技术团队通宵工作，已经完全修复了OpenSSL出现漏洞后的安全信息问题，大家可以放心使用。不过对于用户关心的“是否需要更换密码”等问题，支付宝公关部负责人陈亮没有给出答复。

　　腾讯表示，第一时间对OpenSSL某些存在基础协议通用漏洞的版本，进行了修复处理，目前已经处理完毕，包括邮箱、财付通、QQ、微信等产品。京东商城表示，已对系统全面排查并升级，不建议用户修改密码。

　　不过也有一些公司发声明，表示没有收到“心脏出血”漏洞的波及，苏宁易购相关负责人告诉记者，他们第一时间做了排查，他们排查过后发现自己没有遭遇“心脏出血”漏洞，因为他们采用的是商业软件。

　　负责人：在获得这个消息的第一时间，我们进行了排查，因为当时在交易环节，我们的软件都是采用商业的加解密的软件，所以排查下来，系统并不存在这个漏洞，所以请各个消费者放心，我们目前的系统是安全的。商业软件一般在开发的过程当中，开发商会对这个系统进行各方面的测试，但是Open这块稍微松懈一点，因为从Open的角度来讲，他们更注重一些技术的先进性，可能没有想到漏洞。据我了解下来，他们的OpenSLL也不是每个版本都有这个问题，是1.01、1.01F和0.9的某一个版本存在这个问题，也有可能其他几个网站用的是其他的版本，所以也不一定会存在这个问题。可能两种情况都有吧，有的是用商业软件，有的可能用了OpenSLL的其他版本。

　　国内各大网站快速修补 仍有20%网站无动于衷

　　据安全厂商360发布的数据显示，截至4月10日中午，OpenSSL漏洞修复比例达到71.9%，不过仍有28%的网站没有修复漏洞，存在漏洞的网站主机仍超过5000个。

　　已经修复OpenSSL心脏出血漏洞的网站包括：淘宝、微信、QQ、百度、京东、网易、 CCTV、招商银行、12306、中国移动等大型网站和互联网服务商;仍未修复该漏洞的网站包括：同济大学VPN接入系统、中国科技大学管理学院、福昕阅读器、黑龙江国土资源厅、二手车交易网等。

　　360表示，相对于大型网站和互联网服务商快速响应，更多的中小网站由于技术实力等原因，修复过程会比较漫长。另外，很多间接使用了OpenSSL代码的产品(如：VPN、邮件系统、FTP等)，这些产品和服务数量也很庞大，漏洞存在时间也会拖得更长。

　　据安全厂商360发布的数据显示，截至4月10日中午，OpenSSL漏洞修复比例达到71.9%，不过仍有28%的网站没有修复漏洞，存在漏洞的网站主机仍超过5000个。大家对“心脏出血”漏洞对网络安全带来冲击还有很多疑惑，马上连线360首席隐私官谭晓生。

　　“心脏出血”漏洞存在两年之久，为什么刚刚被发现?

　　谭晓生：其实像这种开软软件可能很多用的人根本就不会去读它的源代码，而且即使有少量的人读源代码，如果他缺乏安全知识，他也不知道这个源代码有可能会被人用一种很奇怪的方式去使用，从而触发它的漏洞。两年的漏洞其实在漏洞的历史上并不算是很久，我们之前还曾经发现过一个微软的存在了19年的漏洞，那个漏洞后来就被人称为“长老漏洞”，就是存在的年数非常长了。

　　如果有用户的银行卡因此被盗，应该找谁负责?

　　谭晓生：我觉得可能首先要请教相关的法律人士更合适。从责任上面区分，我们觉得这种银行的网站，它自身应该是有一定责任的，它使用的这些组件本身是有安全问题的，这是由他们引入的。进一步推责的话，有可能会比如推到开发方是谁等等这些，可能有这么一个责任链条存在。

　　现在跟中国消费者密切相关的很多网站都已经修复了漏洞，来自360的数据也显示，修复比例达到71.9%，接近80%了，修复以后大家非常关心，这就足够安全吗?我们就不需要担心了吗?

　　谭晓生：当然不是，其实这个漏洞最早曝出来是在7号，就是比较大范围的被人知道是7号，其实针对这个漏洞的攻击也可能在7号就开始了，而大部分的国内的大网站修复是在8号的晚上，也就是7-8号这两天，有可能会有掌握漏洞的黑客已经开始展开了攻击。网站的数据就是用户的数据有可能已经开始泄露了，如果保险起见，其实最好是7、8号这两天使用过网银或者使用过在线交易平台或者是登录过一些需要登录密码的网站，现在的做法最好是确认这个网站已经修复了这个漏洞。在确认这个站已经修复漏洞的前提下，最好把密码改一下。

　　这次的漏洞还不能算过去，这个漏洞的更深层的利用方法，或者是波及到的其他一些系统，安全专家们还在分析的过程中，目前看起来可能会影响到更大的范围，除了这些网站之外，还包括一些邮件的客户端，甚至可能还会涉及到一些手机的应用程序，波及面可能会比较大。这次的漏洞的影响可能比大家原来预想的要深远的多，大家可能一方面还要关注一下最近的媒体，有安全的通道大家肯定会通过媒体发布出来，同时也要积极参加一些自查，查一下你有没有用OpenSSL1.0.1这个版本，以及哪怕是买的硬件设备，要去看一下设备厂商有没有安全公告出来，就是说你的设备有没有受影响。第二个，像这些大站的用户现在修改密码是一个必备的东西，随着漏洞进一步找出来，可能还有进一步的动作，随着这个漏洞的挖掘，下一步会有公告出来。

　　当时谷歌和另外的安全研究部门人员发现了这个漏洞的存在，其实他们如果不提这件事的时候，可能黑客大部分人都不知道，是不是因为他们把这个方案过早公之于众，让很多黑客可能利用这两天的机会在各大电商做修补之前进行攻击?

　　谭晓生：这是一个很两难的话题，如果他不公布的话就没有人去修补，其实即使在小范围之内，知道的这些黑客会持续不断发起攻击，最后还是有损失。公布的话可能会造成短时间的危机，但是会让大家在比较快的时间内把这个漏洞修补掉。这个问题在安全圈里面大家的意见也不一致，是有争议的，比如我公布这个漏洞的时候，应该多长时间公布攻击代码等等这些问题是有争论的，但其实没有什么特别完美的解释，有时候你可能给别人说了一下，说下边有一个漏洞，那么其他的安全人员或者黑客就有办法能够找出攻击的方法，他能自己写出攻击的代码。