Критическая уязвимость в пакете OpenSSL поставила под угрозу большинство серверов в мире

Опубликовано: 11 апреля 2014 г., пятница

В понедельник разработчики популярного криптографического пакета OpenSSL, предназначенного для защиты и сертификации данных, сообщили об устранении серьезной ошибки, возникшей в последних релизах пакета.

Изъян выявлен в технологии SSL/TLS, о работе которой извещает изображение висячего замка в строке браузера. Точнее, проблема затрагивает только вариант OpenSSL, но он очень популярен.

Обнаруженная уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из–за этой небольшой ошибки одного программиста кто–угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL.

Злоумышленник также получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. Первая версия пакета OpenSSL, содержащая в себе эту критическую ошибку, была выпущена в марте 2012 года. Таким образом, возможно, некие злоумышленники могли иметь доступ к зашифрованному трафику в Интернете в течение двух лет, не оставляя при этом никаких следов несанкционированного проникновения, отмечается в статье, опубликованной в газете The Washington Post.

Ошибку нашли специалисты по информационной безопасности из финской компании Codenomicon, а также один из сотрудников подразделения Google Security. Именно он сообщил разработчикам OpenSSL о необходимости срочно исправить код. Из–за созвучия названия расширения Heartbeat, обнаруженную ошибку окрестили HeartBleed (кровоточащее сердце) и даже открыли одноименный сайт, содержащий подробное описание уязвимости. По оценке издания ArsTechnica, критическая уязвимость в OpenSSL затронула в общей сложности более двух третей сайтов в мире.

Уязвимая технология используется для безопасной передачи электронных писем, транзакций в интернет–магазинах, размещения постов в соцсетях и т.п.

Специалисты рекомендуют пользователям изменить все свои пароли.

Источник:
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

Тайвань создал альянс для продвижения технологии IoT

Digitimes: Национальный совет по развитию Тайваня организовал Asia Silicon Valley Development Agency (ASVDA), межотраслевой альянс для продвижения технологии IoT. дальше »

Microsoft скоро запустит магазин электронных книг в обновлении Windows 10 Creators Update

Новый магазин электронных книг будет интегрирован в Windows Store как специальный раздел, где пользователи смогут покупать книги у разных издателей и авторов. дальше »

Более тысячи моделей IP-камер подвержены root-уязвимости

В результате изучения прошивки камеры Wireless IP Camera (P2P) WIFICAM была выявлена возможность удалённого доступа к устройству с правами root, используя жестко прописанный в прошивке пароль. дальше »

ФБР поделилось своим секретом взлома iPhone

Несмотря на прогнозы скептиков о том, что американские спецслужбы никогда не разгласят информацию, как им удалось получить доступ к содержимому iPhone «калифорнийского стрелка», все-таки это событие состоялось. дальше »

Тим Бернес-Ли: Интернет принадлежит каждому из нас

В открытом письме, приуроченном к 28-й годовщине создания Интернета, Тим Бернерс-Ли выразил обеспокоенность такими явлениями в Сети, как фейковые новости, нарушение прав на неприкосновенность частной информации и злоупотребления в сфере политической рекламы. дальше »

Digium выпустила новый IP-телефон D80

Компания Digium анонсировала первый в своей отрасли IP-телефон с HD-тачскрином – Digium D80. дальше »

Запущен интернет–проект БЕЛТА «Минск и минчане»

Белорусское телеграфное агентство БЕЛТА запустила интернет–проект «Минск и минчане», посвященный 950–летию Минска. Сайт функционирует по адресу minsk950.belta.by. дальше »

MediaTek и Nokia займутся совместными мобильными разработками

MediaTek и Nokia намерены сотрудничать для разработки нового поколения мобильной связи, которая будет основана на технологии 5G. дальше »

Google Play будет развиваться в направлении улучшения качества игр

Предстоящая настройка сортировочных алгоритмов на Google Play выведет на свет более интересные игры за счет того, что сортировка будет осуществляться с учетом взаимодействия с пользователями, а не простым количеством инсталляций. дальше »

«Лаборатория Касперского» выявила опасную программу, безвозвратно стирающую данные

Компании на Ближнем Востоке и в Европе были атакованы новым зловредом, который не только уничтожает все данные на зараженном компьютере, но и шпионит за жертвами и старательно избегает попадания на радары защитного ПО. дальше »