OpenSSL新漏洞可被用于“中间人”攻击

本周四，OpenSSL基金会发布警告称，一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。

信息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVG Virus Labs的数据，目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息，黑客可能利用新漏洞去拦截加密流量，对其进行解密，随后阅读流量中的内容。

这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的，这意味着任何人都可以对其进行评估及更新。

此漏洞发现之后，亚马逊、思科等企业决定投入10万美元，用于Core Infrastructure Initiative项目。这一新的开源项目由Linux基金会牵头，用于支撑OpenSSL等关键的开源基础设施。