互联网的漏洞经常有，但是今年以来的漏洞则特别多。

近日，国际知名安全协议OpenSSL的官方网站发布了一个安全公告，称OpenSSL1.0.1f版本中存在一个严重漏洞，可导致网站服务器被黑客监听，用户的敏感信息被泄露。据悉，该漏洞被业内称为“心脏出血”漏洞，也被广泛认为是近年来危害最严重的安全漏洞，黑客坐在自家电脑前，就可以从很多https开头网址的服务器上实时抓取用户的账号密码，涉及网银、购物网站、社交网站等信息。360安全专家石晓虹表示，“此漏洞为本年度互联网上最严重的安全漏洞，影响至少两亿中国网民。需要在https开头网址登录的网站，初步评估有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户等知名网站。”

据了解，OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，它囊括了主要的密码算法、常用密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其他目的使用。目前，占据全球三分之二市场份额的Apache和Nginx服务器都在使用OpenSSL，此外，OpenSSL还被大量应用于电子邮件客户端、聊天软件等互联网应用软件中。

瑞星互联网攻防实验室出具的安全报告显示，本次OpenSSL“心脏出血”漏洞存在于ssl/dl_both.c文件中，是Heartbleed模块的一个Bug所致。漏洞可导致黑客远程读取网站服务器长达64K的数据，而这些数据中极有可能存储了用户的网银账号、订单信息、身份信息及支付密码等，黑客只需利用该漏洞反复进行内存记录读取，大量截获用户的敏感数据。

数万服务器用户隐私遭泄

据安全专家介绍，本次OpenSSL曝出的漏洞影响范围特别广泛，基本上所有使用https开头的网站都会受到影响。据谷歌和网络安全公司Codenomicon的研究人员透露，OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。因此，许多人的数据信息开始被暴露，每个人都被卷入到这次灾难的修正中去。放眼望去，网民经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站，基本上都出了问题。而在国外，受到波及的网站也数不胜数，就连大名鼎鼎的NASA(美国航空航天局)也已宣布，用户数据库遭泄露。

安全专家表示，现在还不知道，OpenSSL安全漏洞对移动领域的影响有多大。现在移动用户数已经超过传统计算机用户，但几乎没有任何信息提醒移动用户注意潜在风险。据悉，“心脏出血”漏洞不是操作系统问题，也不是浏览器问题，而是安全层出现了漏洞。由于大多数的隐私工具都是基于OpenSSL，所以这次Bug影响的范围会更加深远。

50%手机APP支付安全受威胁

被称为年度最高危的“心脏出血”安全漏洞不但影响网站安全，手机APP也难逃劫难。谷歌近日发布公告就证实安卓手机用户同样受到“心脏出血”安全漏洞的威胁，谷歌称安卓系统的4.1.1版采用了有漏洞版本的OpenSSL协议库，目前正在为合作伙伴准备修复安全补丁。这意味着，使用安卓4.1.1版本手机用户都将面临该漏洞的隐私被窃取的安全威胁。而根据4月初的数据统计，4.1.X版本占所有安卓系统版本市场占有率的34.4%。

360手机安全中心统计发现，有50%的手机APP使用了HTTPS协议，这其中包括手机广告插件类、手机支付类、社交分享类APP。这些APP中，有部分采用了有漏洞的OpenSSL库。手机安全专家研究发现，黑客通过服务器同样可以反向窃取问题手机上的隐私信息，但具体的影响范围和深度目前仍需研究确认。

“用户登录APP，与用户直接登录网站一样，都有可能将自己的账号、密码等实时登录信息暴露给攻击者，也会受到漏洞的安全威胁。”手机安全专家表示，因此建议广大手机用户尽量设置不同密码、防止黑客窃取更多隐私信息。

个人电脑同样受漏洞攻击

据介绍，“心脏出血”漏洞刚刚曝出时，黑客主要攻击的是电商等https网站，抓取网站用户的登录账号和密码、cookie等数据，此后，大量VPN、邮件系统、FTP工具也被曝受漏洞影响，思科和Juniper的网络设备宣告中招；最新消息显示，Windows也面临OpenSSL漏洞冲击。

安全研究人员指出，Windows上用OpenSSL的软件也不少，且多数使用自己安装目录下的SSLeay32.dll和Libeay32.dll，没有统一的升级管理机制，漏洞可能会长期存在。

据悉，黑客利用OpenSSL漏洞是以发送恶意“心跳包”的方式实现的。对此360漏洞研究实验室主任袁仁广表示，“分析了OpenSSL源代码，发现客户端和服务器端对心跳包的处理完全是对等的”，这意味着，黑客既可以用“客户端打服务器”的方式抓取网站服务器的内存数据，也可以用“服务器打客户端”的方式抓取个人电脑数据。

个人电脑遭遇“心脏出血”攻击，其后果不仅是账号密码、登录认证cookies、密钥等敏感数据被黑客抓取，Windows安全体系也会因此“内伤”被黑客突破，一些原本威胁不大的漏洞结合OpenSSL漏洞会爆发出强大的破坏力，使整个系统被黑客入侵控制。

OpenSSL漏洞检测平台数据显示，国内网站对此漏洞的修复比例已达到73.2%，绝大多数知名重要网站均已修复漏洞。未来一段时间，OpenSSL漏洞重灾区很可能从网站转移到个人电脑。

国内安全企业积极应对漏洞

目前OpenSSL已经发布了1.0.1g版本以修复这一问题，被漏洞问题波及的网站只需要更新OpenSSL的版本就可以不再受此漏洞的影响。此外，国内安全企业也积极发布应对互联网漏洞的措施。

针对因OpenSSL“心脏出血”漏洞引起的对支付安全问题的担忧，汇付天下方面就率先向用户派发“定心丸”。据汇付天下首席信息官林朗表示，“‘汇付POS收单’手机客户端上应用全球领先加密技术V-Key系统的V-Track技术会不断进行病毒数据监测与收集，据此不断升级优化自身系统，以提供更加完善与坚固的加密技术。”因此将“无惧OpenSSL漏洞”。

瑞星公司也紧急推出针对网站OpenSSL漏洞的免费在线检测服务，广大站长及网站管理员只需输入网站域名，即可进行自动分析检测，一旦发现漏洞可尽快修补。瑞星安全专家介绍，本次被曝的OpenSSL漏洞针对1.0.1-1.0.1f及1.0.2-beta1，其他版本不受影响，建议广大站长及网站管理员尽快修复OpenSSL漏洞，重新生成SSL私钥，替换SSL证书，如果发现网站已遭黑客攻击，则应立即提醒用户尽快更改密码，以避免因账号被盗遭受损失。

360则第一时间向12万网站用户发送提醒邮件，提醒广大站长尽快将OpenSSL升级至1.0.1g版本，以修复该漏洞。为帮助用户避免相应风险，360网站卫士推出OpenSSL漏洞在线检查，输入网址就能够检测网站是否存在该漏洞。石晓虹提醒广大互联网服务商，尽快将OpenSSL升级至1.0.1g进行修复，同时建议广大网友，在此漏洞得到修复前，暂时不要在受到漏洞影响的网站上登录账号。