从亚马逊到雅虎的互联网公司周二紧急应对最新发现的互联网漏洞Heartbleed。安全专家们说，成百上千万的网络服务器都可能受到这一漏洞的影响，而一些报告显示，这一漏洞已经存在了大约两年。

Heartbleed是OpenSSL中的一个漏洞，后者是旨在保证互联网通讯安全的一种加密协议。周一被曝光的漏洞影响了互联网的许多方面，因为OpenSSL是Apache Web服务器的默认安全通讯选项。OpenSSL在虚拟专用网络(VPN)技术中也被普遍使用，后者是一种能让企业员工远程连上公司网进行工作的技术。目前还不清楚网络攻击者能否利用Heartbleed漏洞来进入企业内网或盗取数据。

Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最近发布的补丁。美国联邦调查局(Federal Bureau of Investigation,简称FBI)称其采用了内容分发网络服务，并表示其伙伴已经给产品打上了补丁。FBI发言人对《华尔街日报》旗下CIO Journal表示，该局的内部服务器并不容易受Heartbleed漏洞影响。

Amazon Web Services发布了安全公告，详细说明了为应对Heartbleed而更新了哪些服务。亚马逊的Elastic Load Balancing是已更新的服务之一。

其他公司没有提供太多应对Heartbleed的措施细节，但这显然已在他们的工作日程上。雅虎的发言人说，该公司团队已对雅虎的主要属性成功进行了适当的修正。该发言人还说：目前他们打算在该公司其余站点也进行这样的修正。微软(Microsoft Corp)的发言人说：微软正密切关注有关OpenSSL安全漏洞的报道，如果他们认定此事给设备和服务带来了影响，他们将采取必要措施保护客户。谷歌的发言人说，该公司已对SSL的弱点进行了评估，并对关键服务发布了补丁程序。

安全技术公司Venafi Inc.首席执行长赫德森(Jeff Hudson)说，超过40%的互联网服务器都是Apache，而且其中大多数使用OpenSSL。其他研究者表示，这一安全漏洞只会对过去几年发布的OpenSSL版本产生影响。

安全专家们称，该漏洞实际上让黑客能够获得服务器的密钥，而该密钥用于加密通过互联网传递的信息。BitSight Technologies联合创始人兼首席技术长波伊尔(Stephen Boyer)表示，黑客也可能会潜入服务器内存，一次盗走64千字节的数据包;BitSight是一家评估公司网络安全性的公司。他说，可怕之处在于，他们可以解密这些信息，他补充说，人们正在匆忙升级。

不过安全问题研究人员认为，仅仅对OpenSSL软件打补丁并不能奏效。Venafi公司的赫德森说，人们尚未认识到，除非更改所有密钥和证书，否则仍然很容易受到攻击。他表示，一家大型跨国公司或许需要更改数以万计的证书(即电子信息上的附件，用于安全目的)和密钥。这种加密机制可以验证发出信息的用户身份，并给接收方提供加密应答的方式。

LastPass首席执行长西格里斯特(Joe Siegrist)对CIO Journal表示，他的公司重启了服务器，升级了OpenSSL软件，并推出了新的证书。他说，有关该漏洞的可怕之处是，尚不清楚各家公司有哪些信息或已被窃，也不知道该漏洞被发现之前被利用了多长时间。

他表示，所有事情都可能发生，实际发生了多少还远不太清楚。他说，由于该漏洞已经存在了很长时间，如果坏人知道并加以利用了几年时间，事情将真的非常糟糕;如果在该漏洞被发现之前没有多少人知道，则普通用户不会有太大风险。他说，这是一个很难回答的重要问题。

(责任编辑：)