字體:小 中 大 |
|
|
|
| 2014/04/12 06:38:33瀏覽647|回應0|推薦0 | |
https開放原始碼 「心跳」危機 2014/4/12 一段小小程式開放原始碼,一時疏忽忘了於網路傳輸層(OSI 七層的第四層)的某個傳輸欄位資料做驗證,導致全世界若使用開放原始碼程式的伺服器,給電腦駭客一個偷竊機密資料的管道。 對管理使用開放原始碼程式的伺服器的電腦系統管理者建議: 1. 趕快更新此段開放原始碼吧! 對一般使用者的建議: 1. 避免於公眾網路進行 網路購物、讀取電子郵件等需要https加密行為。 2. 透過瀏覽器提供的功能,將cookie等網路暫存資料及記錄清除。 3. 最近幾天少用網路購物、讀取電子郵件等需要https加密行為,讓管理使用開放原始碼程式的伺服器的電腦系統管理者有足夠時間更新程式。 4. 若外界報導自己使用的伺服器提供的服務有「心跳」危機 ,趕快更新需要該項服務功能的密碼。 ****** 網路加密漏洞威脅 恐超乎預估 時間:2014-04-11 新聞引據:中央社 http://news.rti.org.tw/news/detail/?recordId=100024&p=4 網路安全漏洞「心臟出血」(Heartbleed)使得資安拉警報,影響範圍恐怕比原先預估還廣。 本週稍早爆出這個漏洞後,網路資訊圈10日出現各種警告,網站經營者、銀行官員、網路用戶及遠端辦公人員等紛紛被告知他們的資料可能外洩。 知名電腦安全專家施奈爾(Bruce Schneier)在個人網站上留言說:「『心臟出血』是OpenSSL的災難性漏洞。」 OpenSSL是網址開頭https網站常用的加密軟體平台。 「心臟出血」能讓駭客竊取電腦工作記憶體的數據,進而竊取密碼、加密金鑰或者其他寶貴資訊。 網路安全公司Trustwave安全研究經理米勒(John Miller)告訴法新社:「這個漏洞相當具有毀滅性。」 ****** 美國國安局(US NSA)早就於兩年前就知此問題? 還藉此搜集機密資料? ****** NSA Said to Exploit Heartbleed Bug for Intelligence for Years Bloomberg-2014年4月11日 The U.S. National Security Agency knew for at least two years about a flaw in the way that many websites send sensitive information, now dubbed the Heartbleed bug, and regularly used it to gather critical intelligence, two people familiar with the matter said. The agency’s reported decision to keep the bug secret in pursuit of national security interests threatens to renew the rancorous debate over the role of the government’s top computer experts. The NSA, after declining to comment on the report, subsequently denied that it was aware of Heartbleed until the vulnerability was made public by a private security report earlier this month. “Reports that NSA or any other part of the government were aware of the so-called Heartbleed vulnerability before 2014 are wrong,” according to an e-mailed statement from the Office of the Director of National Intelligence. ****** The NSA's Heartbleed problem is the problem with the NSA The Guardian 2014/4/12 ****** 採Android 4.1版智機陷Heartbleed漏洞【經濟日報】 2014.04.12 06:42 pm http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS6/8608817.shtml 數百萬台採用某一版本Android作業系統的智慧手機和平板電腦,也暴露在安全漏洞Heartbleed的風險之下,反映其影響層面已超越網路,擴大至消費性電子產品。 Google 9日在部落格文中表示,所有Android作業系統版本都不受Heartbleed影響,但2012年發布的4.1.1版本系統可能有「少數例外」。 資安研究人員指出,有數百萬支智慧手機和平板採用這款Android系統,三星和宏達電等業者的暢銷產品也在其中。Google的數據顯示,34%的Android裝置採用4.1系列版本,其中只有不到10%的裝置可能受到影響。 本周曝光的Heartbleed安全漏洞,可能使用戶的密碼與敏感資訊面臨駭客威脅,儘管解決方案已同步發步,有安全漏洞的許多重要網站也已迅速完成更新,Google已提出修補方案,讓手機業者和電信商決定是否更新裝置,但資安專家指出,更新程序曠日費時,修補行動難以一夕完成。 不過,行動資安業者Lookout研究人員羅傑斯說,目前還沒有駭客試圖經安全漏洞侵入Android裝置的跡象,原因是程序很麻煩且成功率低。 【2014/04/12 經濟日報】 ****** Android也陷Heartbleed危機?Google:有少數例外 2014-04-12 20:56自由時報 http://news.ltn.com.tw/news/life/breakingnews/987145 〔本報訊〕Google與網路安全公司Codenmicon日前發現,Open SSL安全協定中的模組Heartbleed有著極為危險的漏洞,隨即發布緊告訊息;而Google雖然表示Android作業系統全版本都不會捲入這次的漏洞問題,但4.1.1版本的系統「可能會有少數的例外」。 Android部分裝置也陷入Heartbleed安全漏洞風暴。(彭博) 目前Android最新版本的作業系統為4.4系列,但並非所有裝置都能得到最新的系統升級服務,2012年發布的4.1.1版本目前仍有數百萬台智慧型手機、平板電腦使用,雖然Google強調「少數」,但Heartbleed安全漏洞的影響仍不容小覷。 而根據Google最新的統計數據顯示,目前市場上約有34%的裝置使用4.1.1版本,但當中會受到Heartbleed安全漏洞影響的裝置,估計約只有不到10%。 雖然Android系統也暴露在Heartbleed安全漏洞下,但行動資安專家表示,由於要經由Heartbleed漏洞入侵Android裝置相當麻煩,且成功率也不高,因此目前還沒有駭客企圖經由此漏洞攻擊Android裝置的跡象。 ******** |
|
| ( 時事評論|公共議題 ) |
