威尼斯网站网址

image description

德软件开发者否认蓄意植入“心血”安全漏洞

网易科技讯 4月11日消息据国外媒体报道,Codenomicon和谷歌安全部门(Google Security)的研究人员在开源软件包OpenSSL里发现了一个存在两年的安全漏洞,这一软件包被全球上百万个网站的加密协议所使用。这个名为Heartbleed的加密漏洞导致网络过于公开,促使安全专家警告网络用户在未来几天尽量避免使用网络。很多人怀疑这一漏洞是代码编写者、来自德国明斯特的软件开发者罗宾・西格尔曼(Robin Seggelmann)蓄意植入的, 但他本人对此表示否认。在首次媒体公开评论中西格尔曼表示,这一漏洞的出现“其实很好解释”。

OpenSSL软件被很多流行的社交网络网站、搜索引擎、银行和网上购物网站用于保护个人和财务数据安全。这使得知道这一漏洞存在的人可以从网络服务器里窃取用户名、密码、信用卡信息和其他各种敏感信息。这也导致服务器的加密密钥很容易被窃取。一旦被窃取,这些密钥将被不法分子用于解密网站服务器和网站用户之间传输的数据。“如果用0-10来评价其危险程度,它应该是11。”信息安全专家布鲁斯・施奈尔(Bruce Schneier)这样说道。

西格尔曼表示他和另一名代码审阅者本该在2年前发现此漏洞,当时他们正在为开源OpenSSL加密协议编写代码。“我当时正在改进OpenSSL并提交了大量漏洞修复,同时添加了一些新的特征,” 西格尔曼说道。“不幸的是,在其中一个新特征里,我忘记验证一个包含字符串长度的变量。”在西格尔曼递交代码后,另一名审阅者“很明显也没有注意到他的失误”,所以这一错误就出现在最终发布的版本里。脚本显示这名审阅者是斯蒂芬・亨森(Stephen Henson)博士。西格尔曼比表示这一错误“非常小”,但也承认它的影响是“致命的”。

阴谋论