什么值得买关于已修复 Freak Attack 漏洞的说明
更新:我们已及时修复该漏洞,目前也已不在FREAK Attack漏洞网站名单中。
2015年3月4日,加密协议SSL/TLS又曝出新漏洞FREAK Attack,该漏洞的官网网址为:https://freakattack.com/。
根据该官网信息,全球多家网站均有波及,什么值得买网站(SMZDM.COM)服务器亦受此漏洞影响。什么值得买于3月4日当天知悉该漏洞,并在1小时内完成修复。经确认,此次事件并未造成用户安全信息数据泄露。目前访问安全,请大家放心使用,无需额外操作。
什么值得买网站会持续跟进互联网最新的安全信息,与业内安全同仁齐心协力,给大家更安全的购物环境。也欢迎值友中的技术达人们向我们踊跃提报安全相关线索。
以下是金山安全对此漏洞的原理描述:
该漏洞存在于OpenSSL的通讯协商处理方式上。在用户客户端与存在漏洞的网站,建立连接时(包括网页访问和APP访问)。
如果网络安全较差,典型情况如免费WIFI网络,则黑客可以通过修改协商的关键数据包,强迫服务器和用户之间使用安全度较低的加密方式,然后再通过暴力破解,来窃取用户的重要密码;或者修改两者之间的数据连接,诱导用户访问钓鱼网站。
从技术角度讲,黑客想利用该漏洞需要两个必要条件:
1、目标网站存在OpenSSL漏洞,加密协商方式存在缺陷,导致协商方式可能会被篡改;
2、OpenSSL的低级别加密套件默认打开。比如有些网站使用的IISweb服务器,其低级加密套件就默认处于打开状态,加密长度仅有40位,很容易被黑客暴力破解。