据美国《连线》杂志报道，今年4月爆出的“心脏出血”(Heartbleed)漏洞至今依然令整个互联网界心有余悸，可是如今OpenSSL安全协议又爆出另一项重大漏洞，据悉这项漏洞已经潜伏十六年之久。

OpenSSL基金会近期发布一项建议性警告，希望用户再次对所使用的SSL安全协议进行升级，以修复一项此前从未发现的漏洞。据悉，该漏洞已经存在了十六年，能够允许任何黑客破解加密层窃取数据。由于OpenSSL安全协议在全球广泛使用，因此该基金会发现漏洞之后随即发布补丁，以便各大网站立即升级。

这一漏洞由日本研究人员菊池志(Masashi Kikuchi)发现，通过迫使电脑和服务器使用强度更低的密钥，使得位于两者之间的“中间人”得以进行解密并读取数据。

据菊池志的雇主，软件公司Lepidum发布的一份常见问题文本显示，该缺陷允许恶意中间节点截取被加密的数据，并通过迫使SSL协议客户端使用直接暴露的低强度密钥，从而对其进行解密。业内人士对此解释道，这就好比两个人在建立安全连接，这时有攻击者插入一条命令，让两人误以为他们使用的仍然是“私人”密码，而实际上这一密码已经为攻击者所知。

本次漏洞与Heartbleed并不相同，后者允许任何人直接攻击任何使用OpenSSL协议的服务器，而使用本次漏洞的黑客则必须位于两台联系的计算机之间。尽管如此，该漏洞还是存在巨大的隐患。比如用户在使用公共网络时，就很容易受到攻击。

此外，本次漏洞还有另一大局限性，即只有连接的两端都使用OpenSSL协议时，才可利用本漏洞进行数据破解。专家称，大部分浏览器都使用其他SSL协议，所以并不会受到影响。不过，安卓设备以及许多VPN(虚拟专用网)使用的正是OpenSSL协议，尤其是后者，由于常常涉及敏感数据，因此很容易成为被攻击的目标。

本次漏洞发现者菊池志的博文称，早在1998年，OpenSSL开发之初，该漏洞就一直存在。菊池志指出，尽管OpenSSL协议被广为使用，前不久的Heartbleed事件也引发人们对该协议安全性进行关注，但是OpenSSL代码受到专业安全研究人员的检测和维护程度还是远远不够。如果能够得到TLS/SSL领域专家的维护，这些漏洞可能早就被发现并修补。

有专家指出，在美国国家安全局前雇员斯诺登爆出“棱镜门”事件一周年纪念日之际发现隐藏十几年的安全漏洞，对于安全领域是一个颇具讽刺意味的严酷教训。像OpenSSL这样历史悠久、使用范围广泛的安全协议可能仍然存在最基本的缺陷和漏洞，而仅有少数工程师利用不足的资源对这些协议进行维护，这对于整个互联网界都是一种羞辱。

关注天下网吧微信,了解网吧网咖经营管理，安装维护: