SSL 漏洞 Heartbleed「心臟出血」可定為互聯網史上最嚴重的安全漏洞之一,只要傳遞特製的封包到一個含有未修補 OpenSSL 的伺服器上,駭客就能取得伺服器上最多 64k 的記憶體資訊,而且牽涉到大量常用網站、服務,包括很多人每天都在用的 Yahoo、Gmail 等服務,可能導致用戶的密碼、信用卡資料輕易洩露。
根據 ZMap 的研究報告指出,他們針對 Alexa 前一百萬個網站進行檢測,大約有 36% 的伺服器支援 TLS、7.6% 的伺服器含有此漏洞。ZMap 並提供了一個完整的清單列出在 2014/4/11 17:00 尚未修復漏洞的網站。
該漏洞針對的是主要是網站、主機服務商、操作系統等供應商,一般用戶基本上是無能力為力的,而他們能做的只有三件事:
1. 及時更新受影響的操作系統(如你有自行架設網站及伺服器)
2. 不登錄還未修復此漏洞的網站(最好還是更改密碼)
3. 在確認已經修復該漏洞的 HTTPS 類網站 (網購網站/網上銀行等) 修改登錄密碼。(大部份有網上交易服務的網站)
很多網站和服務器供應商還在對漏洞進行研究及評估,對於自家是否受影響、嚴重到了哪種程度都在陸續公佈。有人特別總結了一份名單,列舉了國外常用網站、服務的受影響情況。如果你經常使用它們提供的服務,可以作為一份參考。
1、行業巨頭
- 蘋果:無影響,iOS、Mac OS X 都沒事。
- 亞馬遜:無影響。
- Google:受影響,有補丁,需更改密碼。—— Google說不用改密碼,但仍然建議這麼做。
- 微軟:無影響。
- 雅虎:受影響,有補丁,需更改密碼。
2、社交網絡
- Facebook:受否影響不清楚,但會有補丁,需要改密碼。
- Instagram:受影響,有補丁,需更改密碼。
- LinkedIn:無影響。
- Pinterest:受影響,有補丁,需更改密碼。
- Tumblr:受影響,有補丁,需更改密碼。
- Twitter:受否影響不清楚,但會有補丁,是否需要改密碼不清楚。
3、電子郵件
- Gmail:受影響,有補丁,需更改密碼。
- AOL:無影響。
- Hotmail/Outlook:無影響。
- Yahoo Mail:受影響,有補丁,需更改密碼。
4、網絡購物
- 亞馬遜:無影響。
- 亞馬遜網絡服務:受影響,有補丁,需更改密碼。
- eBay:無影響。
- Etsy:受影響(一小部分),有補丁,需更改密碼。
- GoDaddy:受影響,有補丁,需更改密碼。
- Groupon:無影響。
- Nordstrom:無影響。
- PayPal:無影響。
- Target:無影響。
- 沃爾瑪:無影響。
5、影音遊戲
- Flickr:受影響,有補丁,需更改密碼。
- Hulu:無影響。
- Mincraft:受影響,有補丁,需更改密碼。
- Netflix:受影響,有補丁,需更改密碼。
- SoundCloud:受影響,有補丁,需更改密碼。
- YouTube:受影響,有補丁,需更改密碼。
6、金融服務
- 美國運通:無影響。
- 美國銀行:無影響。
- 巴克萊:無影響。
- 第一資本:無影響。
- 美國大通:無影響。
- 花旗銀行:無影響。
- 億創理財:無影響。
- 富達國際投資:無影響。
- PNC:無影響。
- 嘉信理財:無影響。
- 史考特證券:無影響。
- TD Ameritrade:無影響。
- 道明銀行:無影響。
- T. Rowe Price:無影響。
- 美國合眾銀行:無影響。
- Vanguard:無影響。
- 富國銀行:無影響。
7、其他
- Box:受影響,有補丁,需更改密碼。
- Dropbox:受影響,有補丁,需更改密碼。
- Evernote:無影響。
- GitHub:受影響,有補丁,需更改密碼。
- IFTTT:受影響,有補丁,需更改密碼。
- OKcupid:受影響,有補丁,需更改密碼。
- Spark Networks:無影響。
- SpiderOak:無影響。
- 維基百科:受影響,有補丁,需更改密碼。
- WordPress:不詳。
- Wunderlist:受影響,有補丁,需更改密碼。
8、密碼管理
- 1Password:無影響。
- Dashlane:受影響,有補丁,需更改密碼。
- LastPass:無影響。
就算有否受到今次安全漏洞的影響,也建議用家養成定期更改密碼的習慣。
沒有留言:
發佈留言