OpenSSL又现高危漏洞 防黑客未公布漏洞细节

OpenSSL协议因为“心脏出血”而一夜成名。近日，一组负责为加密协议OpenSSL做技术支持的开发人员，发现了一个新的神秘“高危”漏洞，但是暂未公布漏洞细节，OpenSSL项目组不想在7月9号漏洞修复之前，为黑客提供任何可利用的信息。

OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议，这些网站占到世界上所有网站的66%。当2014年一个代号为Heartbleed的巨大安全漏洞被发现时，全世界都知道了这种少有人知的后台技术。Heartbleed很危险，因为黑客可以利用OpenSSL，通过网站和服务器窃取数据，即使这些数据是加密的。

新漏洞的本质仍然是未知数，但工程师对它“高危”的定性已经引起了人们的担忧。OpenSSL项目组将高危漏洞定义为，”影响共同配置的漏洞问题，比如服务器拒绝服务，服务器内存泄漏和远程代码执行等。”用普通话来说，这意味着漏洞可以被黑客用于各种目的，从令使用了OpenSSL的网络和服务器掉线，到在受害者的系统上安装恶意软件，无所不能。

这不是OpenSSL项目组自Heartbleed以来发布的第一个补丁。OpenSSL项目组5月份发布过一个修复14个漏洞的安全补丁，其中两个也是高危漏洞。

当然，并不是所有人都讨厌漏洞，比如美国和英国政府部门对OpenSSL等安全协议很不满。FBI在六月初声称，执法和情报机构在对付恐怖主义和犯罪时，需要采取一些方法来读取加密的信息流。

相关阅读：

SSL/TLS安全:Schannel中WinShock漏洞及解决办法

曝Windows安全通道出漏洞 影响微软多款产品

SSLv3漏洞尚未修复，建议用户尽快应关闭SSLv3