您当前的位置: 首页 > 金融

Google披露SSL30安全漏洞附修复

2019-03-03 17:19:43

Google 披露 SSL 3.0 安全漏洞(附修复方法) Google 披露了一个存在于 SSL 3.0 版本当中的安全隐患,和此前的心脏出血漏洞机制类似,允许黑客使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。目前的免疫方法是在浏览其中手动关闭掉 SSL 3.0 回落。

Google 美国时间周二披露了一个存在于 SSL 3.0 版本当中的安全隐患,和此前的心脏出血漏洞机制类似,允许黑客使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。

SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持该版本。当用户的浏览器使用更新版本的安全协议与服务器进行连接,

Google披露SSL30安全漏洞附修复

如果遇到 bug 导致连接失败,会转而尝试更老版本的安全协议进行连接,「更老版本」就包括有 SSL 3.0。也即意味着,黑客完全有能力在攻击一个服务器/单一用户的时候故意制造连接失败的情况,触发浏览器的机制使用 SSL 3.0,并且从中获取用户/服务器端的关键信息。

Google 安全团队在声明中表示,在目前 SSL 支持方 OpenSSL 基金会在没有给出解决方案的前提下,Google Chrome 浏览器已经支持通过技术手段屏蔽掉浏览器回落到 SSL 3.0 进行连接的功能。

安全技术专家 Adam Langley 在自己的博客中给出了用户手动关闭掉 SSL 3.0 支持的方法。

Chrome 浏览器——使用命令行工具来关闭掉支持。

Windows 用户:

1)完全关闭 Chrome 浏览器

2)复制一个平时打开 Chrome 浏览器的快捷方式

3)在新的快捷方式上右键点击,进入属性

4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1

Mac OS X 用户:

1)完全关闭 Chrome 浏览器

2)找到本机自带的终端(Terminal)

3)输入以下命令:/Applications/Google\ p/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

Linux 用户:

1)完全关闭 Chrome 浏览器

2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1

Firefox 浏览器用户可以进入 关于:设置,方法是在地址栏输入 about:config,然后将 n 调至 1。

推荐阅读
图文聚焦