谁动了我的账号？又一轮账号泄露风潮再起！这次是淘宝的！

昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞，该漏洞可随机泄漏https服务器64k内存，内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等，已经有多个白帽给乌云君提供了漏洞影响证明，涉及大量互联网企业与电商，紧急！

简简单单访问一个网页就能被种植上flash xss rookit代码，然后登陆淘宝账号就会被窃取，杀毒软件干什么吃的了？黑客太可怕了！

《一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -（埋雷式攻击附带视频演示）》

由于详细说明中已经给出具体的证明过程，（详见http://www.wooyun.org/bugs/wooyun-2014-051615）这里强调的是该漏洞的一些特点：

A. 可以钓取用户的账户和密码信息，相比传统XSS窃取的个人信息更加重要。

B. 相比传统钓鱼，这种在支付宝和淘宝自己登录页面上的钓鱼，对于用户来说无法用认知来防御。

C. 窃取密码的过程隐蔽，用户难以察觉。

D. 窃取手段不会被目前的家用杀毒软件所察觉。

E. 此类XSS攻击，并不像传统XSS需要用户处于登录态。而是随时都可以进行攻击，从而在受害者电脑上种植rookit代码。因而十分易于用来做定向的攻击或者大规模的攻击。

F. 此类XSS攻击，可以长期存在于用户电脑中，持续时间长。

G. 此类XSS完全是跨协议的，即我们种植rookit使用的是http协议下的flash文件，而登录页面中是https协议下的flash文件。

H. 在chrome浏览器中，普通页面下种植的rookit，在隐身模式下登录支付宝一样会被窃取密码。

I. 支付宝的登录控件，并不能防止通过这种攻击所实施的密码窃取

完了~我的电脑不能登录支付宝账号了~不小心点了里面的测试链接，我的电脑应该被种植flash xss rookit代码了！！！怎样清除呢？

暂时还不知道，有待研究~