“心脏出血”重大漏洞危及网银 安全解决方案
- 来源:电脑问题网
- 作者:漏洞补丁
- 审核:电脑问题网
- 时间:2014-04-13 14:31
- 阅读: 次
“心脏出血”重大漏洞危及网银 安全解决方案
一、什么是“心脏出血”漏洞?有何影响?
OpenSSL爆出本年度最严重的安全漏洞,此漏洞在黑客社区被命名为“心脏出血”漏洞。利用该漏洞,黑客可以实时获取https开头网址的用户登录账号密码。您的网络账号、密码将有可能泄露!!!
经过初步评估,以https开头的网址有不少于30%-50%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站。影响至少两亿中国网民。
二、网友如何防范?
电脑管家提醒广大网友,OpenSSL目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号和进行在线支付。鉴于如此严峻的网络安全态势,腾讯电脑管家紧急联合安全联盟上线OpenSSL漏洞预警功能,凡是存在此严重漏洞风险的网站,均会有腾讯电脑管家的拦截提醒。同时,电脑管家率先推出客户端解决方案,提供专业防护和及时有效的提醒,建议广大网友下载OpenSSL“心血”漏洞防护版管家,避免账号和资金损失。
三、网站安全解决方案
第一步
请尽快使用专业级安全防护工具抵御黑客入侵,保护网站数据安全;
第二步
申请安全联盟&电脑管家双V认证,获得专业的安全检测和漏洞预警服务,解除网站风险提醒;
第三步
咨询安全联盟修复专家 获得修复支持(升级OpenSSL 1.0.1g,使用 -DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL 以禁用Heartbleed模块。)
四、漏洞成因
OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
存在该漏洞的版本:OpenSSL 1.0.1 through 1.0.1f