最近一項(xiàng)調(diào)查針對(duì)全球各大頂尖企業(yè)的公共Web服務(wù)器作出評(píng)估,并指出目前只有3%的設(shè)備已經(jīng)徹底擺脫OpenSSL漏洞、也就是Heartbleed的威脅。
此次研究由安全專(zhuān)業(yè)機(jī)構(gòu)負(fù)責(zé)執(zhí)行,涵蓋《福布斯》評(píng)選出的全球企業(yè)2000強(qiáng)中1639家的約55萬(wàn)臺(tái)服務(wù)器設(shè)備。調(diào)查結(jié)果顯示,已經(jīng)有99%的企業(yè)針對(duì)Heartbleed數(shù)據(jù)泄露漏洞安裝過(guò)修復(fù)補(bǔ)丁。
然而該機(jī)構(gòu)強(qiáng)調(diào)稱(chēng),其中只有15000臺(tái)安裝過(guò)補(bǔ)丁的服務(wù)器進(jìn)行了私用密鑰修改并利用新的SSL證書(shū)取代了原有安全憑證。根據(jù)掌握的情況,鑒于Heartbleed漏洞可被用于竊取受害計(jì)算機(jī)內(nèi)存中的私用密鑰,用戶(hù)應(yīng)該以服務(wù)器密鑰及證書(shū)已經(jīng)遭到破壞為假設(shè)性前提推進(jìn)保護(hù)措施。
此次曝出的OpenSSL漏洞自?xún)赡昵伴_(kāi)始就已經(jīng)被惡意人士們實(shí)際利用,但直到今年四月才真正引起安全行業(yè)的警覺(jué)。在此期間,企業(yè)用戶(hù)的密碼內(nèi)容很可能已經(jīng)被攻擊者們所掌握,此外加密密鑰與證書(shū)數(shù)據(jù)也可能已經(jīng)被用于偽裝虛假的企業(yè)服務(wù)器。