最近，一个包含安全漏洞的补丁可能会威胁到受SSL保护的网站。很多读者对此也很感兴趣。现在，让我们列出关于可能威胁受SSL保护的网站的安全漏洞补丁的最新消息。

互联网工程任务组(IETF)已经完成了研究人员去年8月发现的安全套接字层协议安全漏洞的修复研究工作。

此漏洞使SSL锁部分失效，并允许攻击者破坏使用SSL来确保安全的网站，包括使用基于Web服务的协议的银行网站和后端系统。史蒂夫迪文萨和马什雷发现了这个问题。他们在PhoneFactor工作，这是一家双因素身份验证提供商。

此错误允许中间人在易受攻击的SSL/TLS连接的开头插入一些恶意数据，但不允许他直接读取合法方发送的数据雷解释道。”这种能力被称为“盲明文注入攻击”。起初，人们希望这种有限的功能能够减轻一些影响。不幸的是，由于HTTPS的设计，它似乎受到了特别严重的影响，并且在公开披露此漏洞后不久，它被证明是对推特HTTPS API的有效攻击。”

IETF草案的副本可以在这里找到。在整合了TLS社区的反馈后，提议的补丁于2010年1月7日获得了IESG的批准。IESG负责IETF活动和互联网标准流程的技术管理。这一决定意味着客户现在可以开始交付实现IETF变更的补丁。

Ray表示，“由于受影响的系统数量众多且种类繁多，许多供应商在发布补丁之前都会进行大量的[SSL扩展]互操作性测试。”“已经对补丁的初始版本进行了一些互操作性测试，但由于IETF已经完成了补丁的细节，因此正在进行另一轮测试。

他补充道：“一些开源TLS实现(OpenSSL、GnuTLS)已经在它们公开可见的存储库中得到修复，但是还没有正式的补丁发布。”“大多数较大的供应商(开源和其他供应商)已经提前几个月实施了这个补丁，所以他们现在不应该从头开始。”

该公司开发了一个页面来跟踪针对此问题的补丁部署。您可以在此查看关于此漏洞的PhoneFactor论文(PDF)。