近期涉及一个安全漏洞的修补程序安全漏洞可能威胁受SSL保护的网站内容备受瞩目，很多读者对此也很有兴趣，现在给大家罗列关于一个安全漏洞的修补程序安全漏洞可能威胁受SSL保护的网站最新消息。

互联网工程任务组(IETF)已经完成了针对修复安全套接字层协议安全性漏洞的研究工作，该研究人员于去年8月发现。

该漏洞使SSL锁定部分无效，并使攻击者能够破坏使用SSL来确保安全的站点，包括银行站点和使用基于Web服务的协议的后台系统。Steve Dispensa和Marsh Ray发现了这个问题，他们在两因素身份验证提供商PhoneFactor中工作。

“该错误允许中间人在易受攻击的SSL / TLS连接开始时插入一些恶意数据，但不允许他直接读取合法方发送的数据。” Ray解释道。“这种能力被称为“盲明文注入攻击”。最初，人们希望这种有限的功能可以减轻一些影响。不幸的是，由于HTTPS的设计，它似乎受到了特别严重的影响，并且在公开披露该漏洞后不久，就证明了对Twitter HTTPS API的有效攻击。”

IETF草案的副本可在此处找到。纳入TLS社区的反馈后，提议的修补程序已由IESG于2010年1月7日批准。IESG负责IETF活动和互联网标准流程的技术管理。该决定意味着客户现在可以开始交付实施IETF更改的补丁程序。

Ray说：“由于受影响的系统数量众多，种类繁多，因此许多供应商会在进行补丁发布之前进行大量的[SSL扩展]互操作性测试，” “已经使用补丁的初步版本进行了一些互操作性测试，但是由于IETF已完成了该修补程序的详细信息，因此正在进行另一轮测试。

他补充说：“某些开源TLS实现(OpenSSL，GnuTLS)已在其公开可见的存储库中进行了修复，但目前尚未发布正式的补丁程序。” “大多数较大的供应商(开源和其他)在实施此修补程序方面已有数月的先机，因此，此时他们不应该从零开始。”

该公司已经开发了一个页面来跟踪此问题的修补程序的部署。可以在此处查看有关该漏洞的PhoneFactor论文(PDF)。