重大漏洞專區
近期加密勒索軟體WannaCry(WanaCrypt0r 2.0) 的新型變種勒索病毒正利用 Windows 漏洞(MS17-010漏洞)肆虐,受感染的電腦將會有大量檔案被加密,並且要求高價比特幣贖金。
OpenSSL是以Eric Young與Tim Hudson所寫的SSLeay為基礎之開放原始碼SSL套件,主要功能為基本的傳輸層資料加密。在2012/3/14推出的1.0.1版本存在高風險漏洞(漏洞編號:CVE-2014-0160),漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴充元件相關,因此又被稱為Heartbleed漏洞,該漏洞允許攻擊者從伺服器記憶體中讀取最多64KB的資料,將造成記憶體內容外洩風險。
美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2015-0204、CVE-2015-1067、CVE-2015-1637及CVE-2015-4000。
當伺服器SSL/TLS加密協定支援EXPORT加密演算法時,攻擊者可利用中間人攻擊修改ClientHello與ServerHello封包,將金鑰加密演算法降階為較弱的EXPORT演算法;增加駭客破解金鑰交換加密演算法以取得加密金鑰的危險,進而還原加密封包,以取得通訊內容。