Heartbleed 漏洞关闭了吗？20万台设备仍面临风险

心脏病发作已成为过去吗？不！一年多后，臭名昭著的Heartbleed安全漏洞仍未得到完全解决，仍然对20万台网络设备构成安全威胁。

Shodan 的搜索结果显示，仍有数十万个物联网设备存在安全风险，而Shodan 创始人John Matherly 认为，全球仍有数十万个物联网设备受到此安全问题的影响。 Twitter 上的地图，列出了的国家/地区。

如图所示，美国有57,272 台设备，其次是德国，有21,060 台，中国有11,300 台存在Heartbleed 漏洞的设备，法国有10,094 台，位居第四，英国紧随其后，有9,125 台。

HeartBleed漏洞概括：

心脏出血于2014年首次被发现，当时引起了广泛的恐慌。此漏洞可能允许攻击者利用OpenSSL 软件库中的安全漏洞窃取敏感信息，例如目标设备上的密码。

Heartbleed 漏洞是由于在使用长度参数调用memcpy() 之前未能对受害者的用户输入正确执行边界检查而导致的。攻击者通过跟踪OpenSSL 分配的64 KB 缓存，将比需要更多的字节复制到缓存中，并返回缓存的内容，从而一次泄漏受害者的内存内容64 KB。这是有可能的。

许多设备没有更新补丁，仍然可能受到攻击

该漏洞被公开后，不少网友更新了软件来修复该漏洞，但由于不是疏忽，就是无法轻松修补软件，一年多后仍有近20万台设备受到该漏洞的影响。

安全顾问Graham Cluley 表示：

“很明显，一些制造商和IT 团队没有更新易受攻击的系统。我们相信有多种联网设备容易受到Heartbleed 的攻击。”

马瑟利表示，管理员可以使用Shodan 搜索工具来查看连接到其网络的设备是否仍然容易受到Heartbleed 漏洞的影响。除了更新OpenSSL 之外，管理员还可以采取其他安全措施，例如更改密钥和转储会话cookie。