什么值得买关于已修复 Freak Attack 漏洞的说明

更新：我们已及时修复该漏洞，目前也已不在FREAK Attack漏洞网站名单中。

2015年3月4日，加密协议SSL/TLS又曝出新漏洞FREAK Attack，该漏洞的官网网址为：https://freakattack.com/。

根据该官网信息，全球多家网站均有波及，什么值得买网站（SMZDM.COM）服务器亦受此漏洞影响。什么值得买于3月4日当天知悉该漏洞，并在1小时内完成修复。经确认，此次事件并未造成用户安全信息数据泄露。目前访问安全，请大家放心使用，无需额外操作。

什么值得买网站会持续跟进互联网最新的安全信息，与业内安全同仁齐心协力，给大家更安全的购物环境。也欢迎值友中的技术达人们向我们踊跃提报安全相关线索。

以下是金山安全对此漏洞的原理描述：

该漏洞存在于OpenSSL的通讯协商处理方式上。在用户客户端与存在漏洞的网站，建立连接时(包括网页访问和APP访问)。

如果网络安全较差，典型情况如免费WIFI网络，则黑客可以通过修改协商的关键数据包，强迫服务器和用户之间使用安全度较低的加密方式，然后再通过暴力破解，来窃取用户的重要密码;或者修改两者之间的数据连接，诱导用户访问钓鱼网站。

从技术角度讲，黑客想利用该漏洞需要两个必要条件：

1、目标网站存在OpenSSL漏洞，加密协商方式存在缺陷，导致协商方式可能会被篡改;

2、OpenSSL的低级别加密套件默认打开。比如有些网站使用的IISweb服务器，其低级加密套件就默认处于打开状态，加密长度仅有40位，很容易被黑客暴力破解。