OpenSSL 早前被发现一个严重漏洞 (CVE-2014-0160),影响涉及全球 2/3 服务器,受影响的机构十分广泛,就连 Facebook, Amazon, Yahoo, Google, 以至美国 FBI 亦受影响。
这个漏洞被称为 “Heartbleed”,可见问题的严重性。黑客可藉这个漏洞,盗取原应受到 SSL/TLS 保护加密的资料。黑客可向使用 https 的网站每次读取服务器内存中64K数据,不断反复读取以获得大量数据,这些数据当中可包含各样的资料,包括密码, 登入帐户等。
Android 只有 4.1.1 版本受影响
Google 亦在 Onlie Security Blog 上回应这个 Heartbleed 漏洞。Google 已经在 Search, Gmail, Youtube, Wallet, Play, Apps 和 App Engine 这些 Google Services 安装了修正。Google Chrome 和 Chrome OS 不受影响,其他的 Google Services 亦会陆续安装有关的修正档。
We’ve assessed this vulnerability and applied patches to key Google services such as Search, Gmail, YouTube, Wallet, Play, Apps, and App Engine. Google Chrome and Chrome OS are not affected. We are still working to patch some other Google services.
至于 Android 系统,已确定 Android 4.1.1 版本存在这个 Heartbleed 漏洞,其他版本则不受影响。Google 已经向其他合作商送出 Android 4.1.1 的修正资料。
All versions of Android are immune to CVE-2014-0160 (with the limited exception of Android 4.1.1; patching information for Android 4.1.1 is being distributed to Android partners).
纵使 Google 已放出修正档,但这个修正档实际送到用家手上,可能还要一些时间呢。
Source: Google Online Security Blog