昨晚(4月9日），OpenSSL爆出2014年度最嚴重的安全漏洞HeartBleed Bug。OpenSSL是一個使用非常廣泛的開源加密庫，用來實現(xiàn)網(wǎng)絡通信的加密協(xié)議，該協(xié)議在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上被廣泛使用，網(wǎng)站地址使用https：//開頭的就是采用了OpenSSL安全協(xié)議。

　　該漏洞利用的成本極低，黑客可以很輕易的收集到包括用戶賬戶密碼的隱私信息。危害波及全球70%以上的網(wǎng)站，無論用戶電腦安全防護措施多么周全，只要網(wǎng)站使用了存在該漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時就有被黑客實時監(jiān)控到賬號密碼的風險。

　　華為安全能力中心在第一時間獲取HeartBleed漏洞后24小時內(nèi)就完成了技術分析并給出應對措施。華為安全能力中心分析指出：HeartBleed漏洞主要利用TLS心跳造成遠程信息泄露漏洞，簡單來解釋就是黑客給OpenSSL發(fā)送一個畸形的心跳請求，則會造成64K的內(nèi)存數(shù)據(jù)泄露，黑客可以通過這樣的手段持續(xù)Dump很多內(nèi)存出來，盡管里邊包含了很多無用和截斷的信息，但是可以收集到很多隱私信息，比如私鑰，用戶名，密碼，cookie等等。
　　針對漏洞的技術原理，華為安全產(chǎn)品快速給出應對解決方案：實時開發(fā)針對性的簽名，利用請求包的長度和次數(shù)做檢測，防止利用此漏洞做滲透攻擊。

　　華為安全專家同時建議：

　　1.立即更新補丁。 OpenSSL Project已經(jīng)為此發(fā)布了一個安全公告（secadv_20140407）以及相應補丁，集成OpenSSL的系統(tǒng)應該第一時間打上該補?。?/p>

　　2.增強安全產(chǎn)品的檢測能力。如果您的企業(yè)已部署華為安全設備，則此問題現(xiàn)在已經(jīng)得到解決；

　　3.如果您是最終用戶，建議您注意修改密碼，尤其是如果最近登陸過存在該漏洞的網(wǎng)站。

　　華為全系列安全產(chǎn)品已發(fā)布針對該漏洞的安全公告，并及時發(fā)布了該漏洞的簽名規(guī)則，升級特征庫更新安全能力。華為安全能力中心的快速響應，結合華為安全設備實時在線升級，保障客戶第一時間免除漏洞危害。