Heartleed带来的伤痛还记忆犹新,这才过去几周时间,OpenSSL 密码库的一个漏洞又让全球网民陷入恐慌。
黑客可能利用这个漏洞披露安全连接的内容——如密码和信用卡交易。但更糟糕的是,另一个漏洞的发现带给网民的恐惧如同雪上加霜,就在爆出openssl漏洞的几周后,又爆出了OAuth和OpenID的漏洞。
据一名研究人员描述,事情还远没有就此结束。
有几百万基于Java的,以及其他开源应用都存在已知漏洞,有些漏洞都已经曝出有几年时间了,他警告称。甚至直到今天,仍然有人在下载这些应用。
Sonatype的Brian Fox在周三解释道,尽管许多项目都对漏洞进行了回应,且能迅速推出漏洞补丁,但问题是用户不会快速响应及时下载补丁来修复。
“更何况,攻击者都是通过相同机制来标识的,即,漏洞被发现和修补后,他们就具有先动优势,因为通常利用漏洞比更新应用框架要容易些。,”他写道。
在一些案例中,成百上千受影响的常用Java应用被数以千计的组织下载。
他说,受影响的Struts,一款广泛使用的应用框架, 9个月的时间里被一万多个组织下载了80500次以上,而它就有一个重要的原创代码执行漏洞。
与此同时,尽管Bouncy Castle仍然是Java密码运算法则中最受欢迎的安全屋,但它也包含一个漏洞,攻击者可利用这个漏洞来破坏自漏洞曝光五年内,20000多次下载所产生的加密数据。据称,超过4千家组织正在使用有漏洞的版本。
“这等于是把你想加密的东西曝光,”他说。
Heartbleed可能吓到了很多IT组织,但Fox警告称,还有很多开源应用并没有得到及时更新。
他暗示道,这种状况可能导致另一场Heartbleed式的攻击。
