今年 4 月 8 日，OpenSSL 曾曝出严重的安全漏洞「心脏出血」。它使攻击者能够从内存中读取多达 64 KB 的数据，从而可以实时获取到以 https 开头网址的用户的重要信息，包括登录账号和密码等。

如今「心脏出血」还未被完全修复，又出现了新的漏洞。本周 OpenSSL 紧急通知用户，发现一个名为「中间人攻击」(man-in-the-middle attack) 的漏洞，黑客可以利用这一漏洞截获并读取用户隐私信息。

「中间人攻击」是指攻击者与通讯两端分别建立独立的联系，并交换其所收到的数据。通讯的两端认为他们正在通过私密连接与对方直接对话，但事实上整个会话都在攻击者的控制之下。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。

当受到中间人攻击时，用户发送的信息将会被截获，包括网站登录密码，网银支付密码，电子邮件和聊天记录等重要信息。而受到攻击最可能的场景就是通讯两端都在使用公共 Wifi。

OpenSSL 是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等网站上广泛使用，因此这一漏洞后果十分严重。「中间人攻击」并不是新出现的漏洞，它在 1998 年就已经存在，比 2011 年出现的「心脏出血」早了十多年。