【PConline 资讯】今年4月爆出的Heartbleed漏洞至今依然令整个互联网界心有余悸，外媒消息，近日，为全球各大网站广泛使用的OpenSSL安全协议又曝出另一项重大漏洞，据称该漏洞已经潜伏16年之久，任何黑客都可以通过该漏洞破解加密层窃取数据。

　　OpenSSL基金会近期发布一项建议性警告，希望用户再次对所使用的SSL安全协议进行升级，以修复一项此前从未发现的漏洞。据悉，这一漏洞由日本安全研究员菊池志（Masashi Kikuchi）发现，通过迫使电脑和服务器使用强度更低的密钥，使得位于两者之间的中间人得以进行解密并读取数据。

　　据软件公司Lepidum（菊池志的雇主）发布的一份文件显示，该缺陷允许恶意中间节点截取被加密的数据，并通过迫使SSL协议客户端使用直接暴露的低强度密钥，从而对其进行解密。通俗来讲，这就好比两个人在建立安全连接，这时有攻击者插入一条命令，让两人误以为他们使用的仍然是私人密码，而实际上这一密码已经为攻击者所知。

　　另外，该漏洞与Heartbleed不同，后者允许任何人直接攻击任何使用OpenSSL协议的服务器，而使用该漏洞的黑客则必须位于两台计算机之间。尽管如此，该漏洞还是存在巨大的隐患。比如用户在使用公共网络时，就很容易受到攻击。而且，本次漏洞还有另一大局限性，即只有连接的两端都使用OpenSSL协议时，才可利用本漏洞进行数据破解。专家称，大部分浏览器都使用其他SSL协议，所以并不会受到影响。不过，Android设备以及许多VPN使用的正是OpenSSL协议，尤其是后者，由于常常涉及敏感数据，因此很容易成为被攻击的对象。

　　菊池志在博文中指出，早在1998年OpenSSL开发之初，该漏洞就一直存在。尽管前不久的Heartbleed事件让业界开始广泛关注起OpenSSL协议的安全性，但是OpenSSL代码受到专业安全研究人员的检测和维护程度还是远远不够。如果能够得到TLS/SSL领域专家的维护，这些漏洞可能早就被发现并修补。

　　有专家指出，在棱镜门事件一周年纪念日之际发现隐藏十几年的安全漏洞，对于安全领域是一个颇具讽刺意味的严酷教训。像OpenSSL这样历史悠久、使用范围广泛的安全协议可能仍然存在最基本的缺陷和漏洞，而仅有少数工程师利用不足的资源对这些协议进行维护，这对于整个互联网界都是一种羞辱。