媒體稱NSA利用OpenSSL漏洞多年,NSA否認(rèn)

責(zé)任編輯:鄧旖

2014-04-12 10:15:58

摘自:鳳凰科技

據(jù)彭博社報(bào)道,兩位知情人士透露,美國國家安全局(以下簡稱“NSA”)至少兩年前就已經(jīng)發(fā)現(xiàn)了OpenSSL的“心臟流血”漏洞,并且利用這項(xiàng)漏洞搜集情報(bào)。不過,NSA卻對此堅(jiān)決否認(rèn)。

據(jù)彭博社報(bào)道,兩位知情人士透露,美國國家安全局(以下簡稱“NSA”)至少兩年前就已經(jīng)發(fā)現(xiàn)了OpenSSL的“心臟流血”漏洞,并且利用這項(xiàng)漏洞搜集情報(bào)。不過,NSA卻對此堅(jiān)決否認(rèn)。

NSA在聲明中說:“NSA并不知曉最近發(fā)現(xiàn)的OpenSSL所謂的‘心臟流血’漏洞,直到它最近被私有領(lǐng)域的網(wǎng)絡(luò)安全報(bào)告公之于眾。”

在此之前,彭博社還曾報(bào)道稱,該安全漏洞對搭載Android 4.1.1系統(tǒng)的智能手機(jī)和平板電腦造成了影響。谷歌則在網(wǎng)絡(luò)安全博客中表示,該公司已經(jīng)將漏洞修補(bǔ)信息提交給合作伙伴。

與此同時(shí),《華爾街日報(bào)》也報(bào)道稱,思科和Juniper等公司開發(fā)的網(wǎng)絡(luò)產(chǎn)品也都包含這一漏洞,例如路由器和防火墻。

思科周四稱,該公司的多款產(chǎn)品都整合有OpenSSL。Juniper發(fā)言人則表示,需要一段時(shí)間才能修補(bǔ)所有設(shè)備的安全漏洞。

OpenSSL是SSL加密協(xié)議的一個(gè)變種。任何人都可以借助這一漏洞從采用OpenSSL的服務(wù)器中讀取內(nèi)存數(shù)據(jù),其中包含了用戶名、密碼和信用卡信息。

參與發(fā)現(xiàn)“心臟流血”漏洞的安全公司Codenomicon表示:“這讓攻擊者可以監(jiān)聽通訊信息,直接從服務(wù)和用戶那里竊取數(shù)據(jù),并且假冒服務(wù)和用戶。”

自從“心臟流血”漏洞曝光后,各大網(wǎng)絡(luò)服務(wù)都在緊張備戰(zhàn)。Facebook、谷歌和雅虎等多家公司已經(jīng)修補(bǔ)了這一漏洞。蘋果公司則表示,iOS和Mac OS X沒有受此影響。

美國國土安全部也呼吁用戶在升級后的網(wǎng)站上修改密碼。但該機(jī)構(gòu)指出,還沒有任何攻擊或事件被證明與“心臟流血”漏洞有關(guān)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號