15年OpenSSL漏洞影响Android版Chrome，Google发布紧急更新

OpenSSL基金会日前公布修复6个安全漏洞，其中有一个编号CVE-2014-0224漏洞已经默默存在15年之久，骇客可以借此发动一个中间人攻击（MITM），来窃听采用OpenSSL加密连线的封包，资安人员也将此一漏洞称之为“CCS注入漏洞”（CCS Injection Vulnerability）。

台湾戴夫寇尔共同创办人徐念恩表示，服务器端与用户端都使用该OpenSSL漏洞的软件时，才会发生被窃听的风险，不像先前HeartBleed漏洞，只要服务器端使用openSSL就会发生问题遭骇。徐念恩表示，例如Andrdoi版Chrome浏览器就使用了有此漏洞的OpenSSL程，因此，他建议改用其他手机浏览器来降低危险。Google也紧急更新Chrome for Android内建的OpenSSL程式版本，推出35.0.1916.141新版本，预计最近几天会发布到各国Google Play市集。

CCS注入漏洞能降低服务器加密严谨度，更容易发动中间人攻击

根据发现此漏洞的日本资安研究公司Lepidum研究员Masashi Kikuchi通报资料，这个漏洞和先前OpenSSL的心脏淌血（Heartbleed）漏洞一样，都将影响所有使用SSL/TLS的加密服务，包括：SMTPS、 FTPS以及HTTPS等。

Masashi Kikuchi也在说明文件上指出，OpenSSL用来更改密钥规格的ChangeCiperSpec（简称CCS）处理上，出现一个漏洞，允许恶意中间节点拦截和解密已经加密的资料，也同时迫使SSL用户端使用比较脆弱的金钥，让加密资料暴露在恶意的节点上。

徐念恩进一步解释，这样的攻击手法就是在用户端与服务器端的通讯过程中，骇客会发送一个伪造的ChangeCipherSpec更改密钥协定给服务器，让原本比较严谨的加密方式，变成比较低复杂度的加密方法，当骇客利用中间人攻击（MITM）手法，监听服务器和用户间的封包时，更容易破解加密的传输内容。包括使用SSL3.0、TLS1.0、TLS1.1及TLS1.2等加密协定的服务，都会受到这个CCS注入漏洞的影响。

不过，Masashi Kikuchi强调，这次CCS注入漏洞无法偷走网站的加密私钥，所以企业不必和上次面临Heartbleed漏洞一样，必须重新产生SSL加密私钥并将网站旧凭证撤销以确保其安全性。但他说，骇客若利用这个CCS注入的漏洞窃听各种加密封包与各种加密语音和视讯资讯时，同样不会留下任何可被追踪的痕迹。

修复Heartbleed漏洞的OpenSSL版本仍有问题

徐念恩表示，即使企业上次已经为了修补Heartbleed漏洞而将OpenSSL升级到OpenSSL 1.0.1g，但在面对这次CCS注入漏洞时，上次升级的版本一样有资安风险，所以必须要将OpenSSL 1.0.1 ～1.0.1g版升级到安全的OpenSSL 1.0.1h版，将OpenSSL 1.0.0版升级到OpenSSL 1.0.0m版，以及所有OpenSSL 0.9.8y之前的版本都升级到OpenSSL 0.9.8za版。

这次CCS注入和Heartbleed漏洞不一样的地方在于，骇客要启动CCS注入漏洞时，包括用户端和服务器端，都必须是使用有问题OpenSSL版本的浏览器，中间的加密资讯才会被窃听。

徐念恩表示，已知使用有漏洞OpenSSL的用户端软件，包括了Android版Chrome浏览器，及其他基于Chromium制作的浏览器，如Opera浏览器14版以上版本，但是，像是桌面版及iOS版的IE、Firefox、Chrome，以及Safari等浏览器，都没有使用有问题OpenSSL，而不会受到CCS注入漏洞的影响。Google也已紧急释出更新版本。