Критическая уязвимость в пакете OpenSSL поставила под угрозу большинство серверов в мире

Опубликовано: 11 апреля 2014 г., пятница

В понедельник разработчики популярного криптографического пакета OpenSSL, предназначенного для защиты и сертификации данных, сообщили об устранении серьезной ошибки, возникшей в последних релизах пакета.

Изъян выявлен в технологии SSL/TLS, о работе которой извещает изображение висячего замка в строке браузера. Точнее, проблема затрагивает только вариант OpenSSL, но он очень популярен.

Обнаруженная уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из–за этой небольшой ошибки одного программиста кто–угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL.

Злоумышленник также получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. Первая версия пакета OpenSSL, содержащая в себе эту критическую ошибку, была выпущена в марте 2012 года. Таким образом, возможно, некие злоумышленники могли иметь доступ к зашифрованному трафику в Интернете в течение двух лет, не оставляя при этом никаких следов несанкционированного проникновения, отмечается в статье, опубликованной в газете The Washington Post.

Ошибку нашли специалисты по информационной безопасности из финской компании Codenomicon, а также один из сотрудников подразделения Google Security. Именно он сообщил разработчикам OpenSSL о необходимости срочно исправить код. Из–за созвучия названия расширения Heartbeat, обнаруженную ошибку окрестили HeartBleed (кровоточащее сердце) и даже открыли одноименный сайт, содержащий подробное описание уязвимости. По оценке издания ArsTechnica, критическая уязвимость в OpenSSL затронула в общей сложности более двух третей сайтов в мире.

Уязвимая технология используется для безопасной передачи электронных писем, транзакций в интернет–магазинах, размещения постов в соцсетях и т.п.

Специалисты рекомендуют пользователям изменить все свои пароли.

Источник:
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

PREDATOR на страже доменного пространства

Группа американских исследователей разработала технологию, призванную помочь в борьбе с киберпреступностью на самой ранней стадии – стадии регистрации доменов, которые затем будут использованы в противоправных целях. дальше »

Alibaba создает Alibaba Digital Media & Entertainment Group

В ходе крупной реорганизации активов компании, связанных с индустрией развлечений, Даниэль Чанг сообщил о формировании Alibaba Digital Media & Entertainment Group. дальше »

KNL Networks получила финансирование на сумму 10 млн долларов

KNL Networks является единственной альтернативой спутниковой связи и в настоящее время используется на океанских судах, пересекающих Атлантический и Тихий океаны. дальше »

Число подписчиков IPTV в Беларуси выросло до 1,44 млн

Число подписчиков IPTV в Беларуси выросло до почти 1,44 млн по состоянию на конец третьего квартала 2016 года, согласно данным министерства информации страны. дальше »

TorrentLocker распространяется в 22 странах

Шифратор, известный с 2014 года, распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. дальше »

Более 60% интернет–магазинов ЕС нарушают права потребителей

Среди интернет–магазинов Евросоюза 63% предоставляют неполную информацию о том, как клиент может отказаться от сделки, или не предоставляют такой информации вовсе. дальше »

D–Link представила комплект видеонаблюдения DNR16–4802–2

Компания D–Link анонсировала выпуск нового Full HD комплекта видеонаблюдения DNR16–4802–2 для малого и среднего бизнеса. дальше »

Google больше не будет доверять сертификатам WoSign и StartCom

Google Chrome версии 56 уже не будет доверять цифровому сертификату, выданному органами сертификации WoSign и StartCom: после 21 октября. дальше »

AT&T объявила о крупнейшем приобретении

AT&T объявила о масштабной сделке, отражающей общую тенденцию к консолидации участников рынка связи и медиа-индустрии, — покупке концерна Time Warner за $85,4 млрд. дальше »

Samsung Electronics представила расширенную версию платформы для интернета вещей ARTIK Smart

Платформа дополнена двумя новыми сериями модулей, ARTIK 0 и ARTIK 7, функциями для управления устройствами в облаке, а также совместима с широким спектром разработок партнеров. дальше »