Google 披露 SSL 3.0 安全漏洞(附修復方法)


Google 美國時間週二披露了一個存在於SSL 3.0 版本當中的安全隱患,和此前的心臟出血漏洞機制類似,允許黑客使用特殊的手段,從SSL 3.0 覆蓋的安全連接下提取到一定字節長度的隱私信息。

SSL 3.0 已經存在15 年之久,目前絕大多數瀏覽器都支持該版本。當用戶的瀏覽器使用更新版本的安全協議與服務器進行連接,如果遇到bug 導致連接失敗,會轉而嘗試更老版本的安全協議進行連接,「更老版本」就包括有SSL 3.0。也即意味著,黑客完全有能力在攻擊一個服務器/單一用戶的時候故意製造連接失敗的情況,觸發瀏覽器的機制使用SSL 3.0,並且從中獲取用戶/服務器端的關鍵信息。


Google 安全團​​隊在聲明中表示,在目前SSL 支持方OpenSSL 基金會在沒有給出解決方案的前提下,Google Chrome 瀏覽器已經支持通過技術手段屏蔽掉瀏覽器回落到SSL 3.0 進行連接的功能。

安全技術專家Adam Langley 在自己的博客中給出了用戶手動關閉掉SSL 3.0 支持的方法。

Chrome 瀏覽器——使用命令行工具來關閉掉支持。

引用Windows 用戶:

1)完全關閉 Chrome 瀏覽器
2)複製一個平時打開Chrome 瀏覽器的快捷方式
3)在新的快捷方式上右鍵點擊,進入屬性
4)在「目標」後面的空格中字段的末尾輸入以下命令--ssl-version-min=tls1

引用Mac OS X 用戶:

1)完全關閉 Chrome 瀏覽器
2)找到本機自帶的終端(Terminal)
3)輸入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

引用Linux 用戶:

1)完全關閉 Chrome 瀏覽器
2)在終端中輸入以下命令:google-chrome—ssl-version-min=tls1

引用Firefox 瀏覽器用戶可以進入關於:設置,方法是在地址欄輸入about:config,然後將security.tls.version.min 調至1。


資料來源:TECH2IPO

如果喜歡我們的文章,請即分享到︰

標籤: SSL 3.0 安全漏洞