OpenSSL漏洞对大众影响几何？ U盾仍可放心使用

　　作者：CFCA技术专家 龚喜杰

　　2014年4月8日新闻报道了开源软件OpenSSL存在漏洞，天猫、淘宝等等电商受到影响且承认存在该漏洞。随之而来出现了许多关于该软件漏洞的说法，这其中有一些不实之词不仅影响到电商而且中国银联和商业银行的系统也受到关联，甚至怀疑到网银广泛使用的U盾，出现了千万不可用U盾结帐，48小时不上网银等传言。为此，CFCA针对这次披露的漏洞以及危害与影响说明如下：

　　首先，这次公布的漏洞不是业界广泛用于网上信息安全的SSL协议的漏洞，而是一种用来实现SSL协议的开源软件OpenSSL存在漏洞，而且这个漏洞只存在于OpenSSL特定协议版本（1.0.1）中，天猫、淘宝使用的正是这个系列的版本。

　　其次，银行的网银确实都使用了SSL协议，但网银系统均使用商业级的SSL设备，很少有采用开源软件实现的，即使有也很少使用这个系列版本，而且该类设备也不支持该开源软件中造成漏洞的heartbeat扩展，所以影响较小。

　　第三，该漏洞是利用缓冲区溢出机制来直接读取内存中的明文信息，如果网站使用了带有该漏洞的OpenSSL开源软件版本，是会有一定的影响。但是这个漏洞与U盾的安全性没有什么联系，因为用户的交易敏感信息是通过USB接口送入U盾后，在U盾内部进行加密和数字签名运算，SSL协议是对U盾加密签名后的数据再进行一次加密。OpenSSL的漏洞对U盾没有影响，U盾完全可以放心使用。

　　最后，对于银行、电商等，当务之急是检查SSL设备是否使用了OpenSSL1.0.1系列的版本，如果使用了应尽快升级（OpenSSL新版本已经了该问题）设备，并在网站发出通知，告知消费者情况，消除消费者的疑虑。

　　对于普通消费者，U盾可以完全放心使用。对于不能确认的网站，可以在访问其网站（https开通）前，通过用一些免费的在线工具验证一下访问的网站是否存在这个漏洞，例如http://filippo.io/Heartbleed/，http://possible.lv/tools/hb/，都能验证网站是否存在此漏洞。如果存在此漏洞的话，先暂停访问，等待漏洞得到修复。目前天猫，淘宝已经修复此漏洞。