OpenSSL 早前被發現一個嚴重漏洞 (CVE-2014-0160),影響涉及全球 2/3 伺服器,受影響的機構十分廣泛,就連 Facebook, Amazon, Yahoo, Google, 以至美國 FBI 亦受影響。
這個漏洞被稱為 “Heartbleed”,可見問題的嚴重性。黑客可藉這個漏洞,盜取原應受到 SSL/TLS 保護加密的資料。黑客可向使用 https 的網站每次讀取服務器內存中64K數據,不斷反覆讀取以獲得大量數據,這些數據當中可包含各樣的資料,包括密碼, 登入帳戶等。
Android 只有 4.1.1 版本受影響
Google 亦在 Onlie Security Blog 上回應這個 Heartbleed 漏洞。Google 已經在 Search, Gmail, Youtube, Wallet, Play, Apps 和 App Engine 這些 Google Services 安裝了修正。Google Chrome 和 Chrome OS 不受影響,其他的 Google Services 亦會陸續安裝有關的修正檔。
We’ve assessed this vulnerability and applied patches to key Google services such as Search, Gmail, YouTube, Wallet, Play, Apps, and App Engine. Google Chrome and Chrome OS are not affected. We are still working to patch some other Google services.
至於 Android 系統,已確定 Android 4.1.1 版本存在這個 Heartbleed 漏洞,其他版本則不受影響。Google 已經向其他合作商送出 Android 4.1.1 的修正資料。
All versions of Android are immune to CVE-2014-0160 (with the limited exception of Android 4.1.1; patching information for Android 4.1.1 is being distributed to Android partners).
縱使 Google 已放出修正檔,但這個修正檔實際送到用家手上,可能還要一些時間呢。
Source: Google Online Security Blog