昨晚(4月9日），OpenSSL爆出2014年度最嚴(yán)重的安全漏洞HeartBleed Bug。OpenSSL是一個(gè)使用非常廣泛的開源加密庫，用來實(shí)現(xiàn)網(wǎng)絡(luò)通信的加密協(xié)議，該協(xié)議在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上被廣泛使用，網(wǎng)站地址使用https：//開頭的就是采用了OpenSSL安全協(xié)議。

　　該漏洞利用的成本極低，黑客可以很輕易的收集到包括用戶賬戶密碼的隱私信息。危害波及全球70%以上的網(wǎng)站，無論用戶電腦安全防護(hù)措施多么周全，只要網(wǎng)站使用了存在該漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時(shí)就有被黑客實(shí)時(shí)監(jiān)控到賬號密碼的風(fēng)險(xiǎn)。

　　華為安全能力中心在第一時(shí)間獲取HeartBleed漏洞后24小時(shí)內(nèi)就完成了技術(shù)分析并給出應(yīng)對措施。華為安全能力中心分析指出：HeartBleed漏洞主要利用TLS心跳造成遠(yuǎn)程信息泄露漏洞，簡單來解釋就是黑客給OpenSSL發(fā)送一個(gè)畸形的心跳請求，則會造成64K的內(nèi)存數(shù)據(jù)泄露，黑客可以通過這樣的手段持續(xù)Dump很多內(nèi)存出來，盡管里邊包含了很多無用和截?cái)嗟男畔?，但是可以收集到很多隱私信息，比如私鑰，用戶名，密碼，cookie等等。
　　針對漏洞的技術(shù)原理，華為安全產(chǎn)品快速給出應(yīng)對解決方案：實(shí)時(shí)開發(fā)針對性的簽名，利用請求包的長度和次數(shù)做檢測，防止利用此漏洞做滲透攻擊。

　　華為安全專家同時(shí)建議：

　　1.立即更新補(bǔ)丁。 OpenSSL Project已經(jīng)為此發(fā)布了一個(gè)安全公告（secadv_20140407）以及相應(yīng)補(bǔ)丁，集成OpenSSL的系統(tǒng)應(yīng)該第一時(shí)間打上該補(bǔ)??；

　　2.增強(qiáng)安全產(chǎn)品的檢測能力。如果您的企業(yè)已部署華為安全設(shè)備，則此問題現(xiàn)在已經(jīng)得到解決；

　　3.如果您是最終用戶，建議您注意修改密碼，尤其是如果最近登陸過存在該漏洞的網(wǎng)站。

　　華為全系列安全產(chǎn)品已發(fā)布針對該漏洞的安全公告，并及時(shí)發(fā)布了該漏洞的簽名規(guī)則，升級特征庫更新安全能力。華為安全能力中心的快速響應(yīng)，結(jié)合華為安全設(shè)備實(shí)時(shí)在線升級，保障客戶第一時(shí)間免除漏洞危害。