□影响

互联网安全大地震

“这是近两年来最严重的一次网络安全危机。”360公司技术副总裁谭晓生评价，在以https开头的网站中，初步评估有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户等知名网站，而在手机APP的网银客户端中，则有至少50%存在风险。

据南京翰海源信息技术有限公司创始人方兴介绍，通俗来讲，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器挂掉不能提供服务。

一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

昨天下午，来自知道创宇ZoomEye网络空间搜索引擎的监控显示，国内有22611台主机受影响，而前天这个数字是33303，可以看到情况正在好转，超过30%的主机已经修复。

“漏洞被挖掘出来以后，带来的危害并不会非常快地显现。”瑞星安全专家唐威告诉记者，现阶段企业层面能做的也是对使用的OpenSSL进行排查和升级。

不过，昨天也有业内人士称，这个漏洞其实并没那么可怕，因为这是一个旧版本OpenSSL的安全漏洞，开发者把服务器程序升级到OpenSSL1.0.1g就可以解决。

□回应

银行银联支付不受影响

对于OpenSSL的漏洞，有传言称即便是银行网上支付、U盾、银联支付也都并不安全。不过，业内人士昨天向记者坦言，该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。

中国金融认证中心应用开发部总经理林峰表示，OpenSSL的这个漏洞是由于代码实现不严谨造成的。这个漏洞存在于OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本，所以可以窃取到内存中的数据。

“如果银行使用了带有该漏洞的OpenSSL开源软件版本，会有一定的影响。但是这个漏洞只是窃取内存中的数据，银行的用户密码还有一重加密保护，一般不会在SSL服务器解密，所以也就很难拿到银行用户的密码。”

林峰还表示，其实这个OpenSSL的漏洞和U盾的安全性没有什么联系，因为用户的交易敏感信息是通过USB接口送入U盾后，在U盾内部进行加密和数字签名运算，SSL协议是对U盾加密签名后的数据再进行一次传输层的加密。这次OpenSSL的漏洞对U盾没有影响。

此外，中国银联相关负责人昨天也回应称，银联核心跨行交易系统运营基于专用网络，与漏洞事件无关。该负责人称，“银联在线支付”等基于互联网的创新业务系统并未使用OpenSSL技术，对于个别外围供应商可能存在的OpenSSL漏洞，银联已通过主动排查，在乌云网等技术人士公开漏洞事件前就已协调供应商消除了隐患，持卡人可以放心使用。