全球最大的两家网络设备厂商思科和 Juniper 周四宣布,它们的某些产品也包含了 Heartbleed 漏洞。这意味着用户们在企业网络、家庭网络和互联网之间传输用户名、密码和其他敏感信息时,那些信息也有可能被黑客窃取到。
周一曝出有关 Heartbleed 漏洞的消息后,很多网站比如雅虎、亚马逊和 Netflix 等公司旗下的网站已经迅速堵住了该漏洞。但是思科和 Juniper 表示,企业用户们经常使用的路由器、交换机和防火墙等设备也受到了这个安全漏洞的影响。
而且,那些连网设备上的漏洞更难被修复。专家称,整个修复过程的操作更加复杂,而且企业用户们一般不太可能去检查连网设备的状态。
网络安全研究员和加密专家布鲁斯席内尔(Bruce Schneier)称:“升级需要用到垃圾桶、信用卡以及亲自到百思买门店。”
然而,现在各大零售店里待售的那些产品可能在该漏洞被曝光之前就已经被送到店里了。那意味着它们可能也存在 Heartbleed 漏洞。
约翰霍普金斯大学的加密专家马修格林(Matthew Green)表示,企业用户经常利用防火墙和虚拟私人网络来保护他们的计算机系统,但是如果那些运行防火墙和虚拟私人网络的设备也受到 Heartbleed 漏洞的影响的话,攻击者就可以利用它们侵入网络。
格林说:“情况非常糟糕,很多人都跟那些连网设备连接在一起。”
格林和其他专家还说,某些家庭连网设备比如无线路由器可能也受到了这个漏洞的影响。
思科周四更新了客户通告牌,告知客户其数十款产品存在 Heartbleed 漏洞。它表示,现在还有 65 款产品正在接受调查,已经证实存在该漏洞的产品共有 16 款。
思科说,一旦公司开发出相关的软件补丁,它将立即通知客户。与此同时,思科的安全专家们为用户们提供了一款软件,据说可以检测到黑客是否正在利用该漏洞攻击系统。
Juniper 表示,公司设备的升级过程可能时间会比较长。Juniper 发言人柯瑞奥尔福特(Corey Olfert)称:“它不象打开开关那样简单,我也不清楚这个问题能够在多快的时间内得到解决。”
Juniper 称,公司已经在周二发布了针对公司某些版本的虚拟私人网络软件的补丁程序。它补充说,公司正在为其他受到影响的产品开发相关的补丁。