猎豹移动安全预警OenSSL出现新漏洞新时代

猎豹移动安全预警：OpenSSL出现新漏洞 多个著名站可能受影响

3月4日，猎豹移动安全实验室(原金山毒霸)发布安全警告，著名开源软件OpenSSL又爆出新漏洞Tracking the FR中国绝大部分商品和服务价格实行市场调节价EAK Attack(CVE-)。目前已知国内多个著名站搜狐、苏宁、Smzdm等存在该漏洞，如果用户在不安全的络下访问这些站，可能被窃取账号密码、被迫访问钓鱼站等。

据介绍，该漏洞存在于OpenSSL的通讯协商处理方式上。在用户客户端与存在漏洞的站建立连接时(包括页访问和APP访问)，如果络安全较差，典型情况如免费WIFI络，则黑客可以通过修改协商的关键数据包，强迫服务器和用户之间使用安全度较低的加密方式，然后再通过暴力破解，来窃取用户的重要密码;或者修改两者之间的数据连接，诱导用户访问钓鱼站。

<定型好p>从技术角度讲，黑客想利用该漏洞需要两个必要条件：1、目标站存在OpenSSL漏洞，加密协商方式存在缺陷，导致协商方式可能会被黑客篡改;2、OpenSSL的低级别加密套件默认打开。比如有些站使用的IISweb服务器，其低级加密套件就默认处于打开状态，加密长度仅有40位，很容易被黑客暴力破解。

(加密套件安全度对比图)

针对该漏洞猎豹安全专家建议，可以采用以下措施来弥补漏洞：

黑客要想利用该漏洞进行攻击，需要服务器和用户客户端都支持低版本的加密套件。禁止服务器和客户端任意一方的不安全套件都能防止被攻击。对于存在漏洞的站，可以在服务器端禁止低级安全套件;作为普通用户，可以使用安全的浏览器(比如猎豹安全浏览器)，即可免受该漏洞的攻击。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

陕西白癜风治疗费用
安顺什么医院治疗白癜风
下肢静脉炎治疗方法