【PConline 資訊】今年4月爆出的Heartbleed漏洞至今依然令整個互聯網界心有余悸，外媒消息，近日，為全球各大網站廣泛使用的OpenSSL安全協(xié)議又曝出另一項重大漏洞，據稱該漏洞已經潛伏16年之久，任何黑客都可以通過該漏洞破解加密層竊取數據。

　　OpenSSL基金會近期發(fā)布一項建議性警告，希望用戶再次對所使用的SSL安全協(xié)議進行升級，以修復一項此前從未發(fā)現的漏洞。據悉，這一漏洞由日本安全研究員菊池志（Masashi Kikuchi）發(fā)現，通過迫使電腦和服務器使用強度更低的密鑰，使得位于兩者之間的中間人得以進行解密并讀取數據。

　　據軟件公司Lepidum（菊池志的雇主）發(fā)布的一份文件顯示，該缺陷允許惡意中間節(jié)點截取被加密的數據，并通過迫使SSL協(xié)議客戶端使用直接暴露的低強度密鑰，從而對其進行解密。通俗來講，這就好比兩個人在建立安全連接，這時有攻擊者插入一條命令，讓兩人誤以為他們使用的仍然是私人密碼，而實際上這一密碼已經為攻擊者所知。

　　另外，該漏洞與Heartbleed不同，后者允許任何人直接攻擊任何使用OpenSSL協(xié)議的服務器，而使用該漏洞的黑客則必須位于兩臺計算機之間。盡管如此，該漏洞還是存在巨大的隱患。比如用戶在使用公共網絡時，就很容易受到攻擊。而且，本次漏洞還有另一大局限性，即只有連接的兩端都使用OpenSSL協(xié)議時，才可利用本漏洞進行數據破解。專家稱，大部分瀏覽器都使用其他SSL協(xié)議，所以并不會受到影響。不過，Android設備以及許多VPN使用的正是OpenSSL協(xié)議，尤其是后者，由于常常涉及敏感數據，因此很容易成為被攻擊的對象。

　　菊池志在博文中指出，早在1998年OpenSSL開發(fā)之初，該漏洞就一直存在。盡管前不久的Heartbleed事件讓業(yè)界開始廣泛關注起OpenSSL協(xié)議的安全性，但是OpenSSL代碼受到專業(yè)安全研究人員的檢測和維護程度還是遠遠不夠。如果能夠得到TLS/SSL領域專家的維護，這些漏洞可能早就被發(fā)現并修補。

　　有專家指出，在棱鏡門事件一周年紀念日之際發(fā)現隱藏十幾年的安全漏洞，對于安全領域是一個頗具諷刺意味的嚴酷教訓。像OpenSSL這樣歷史悠久、使用范圍廣泛的安全協(xié)議可能仍然存在最基本的缺陷和漏洞，而僅有少數工程師利用不足的資源對這些協(xié)議進行維護，這對于整個互聯網界都是一種羞辱。