Heartbleed

A sérülékeny OpenSSL nem csak webes szolgáltatásokban található meg, hanem egy sor hálózati eszközben és az Androidban is. A Cisco már közzétette és folyamatosan frissíti sérülékeny termékei listáját. Az Androidnak a Google szerint csak a 4.1.1 verziója érintett.

A hét elején derült fény az OpenSSL könyvtár biztonsági hibájára, amelyen keresztül támadók autentikáció nélkül hozzáférnek a sérülékeny rendszerek memóriájához és így azokról érzékeny információkat tudnak eltulajdonítani, például a titkosításhoz használt kulcsokat is, amelyek birtokában a teljes titkosított forgalmat visszafejthetik.

Egy sor Cisco-termék érintett

Az OpenSSL majdnem két éve sebezhető ezen a hibán keresztül és senki sem tudja, hogy valaha valaki kihasználta-e a sérülékenységet érzékeny adatok eltulajdonításához, mivel a hibát kihasználó támadásoknak a szerverlogokban nincs nyoma. A weboldalak és webes szolgáltatások üzemeltetői rohamtempóban cserélték le a sebezhető OpenSSL implementációkat a kijavított változatra, így a felhasználóknak csak a jelszavukat kell megváltoztatnia ahhoz, hogy minimalizálják a kockázatokat. (Itt egy lista a Heartbleed bug által érintett webes szolgáltatásokról.)