Внимание! Обнаружена самая серьезная веб-уязвимость в истории Интернета

Главная / Внимание! Обнаружена самая серьезная веб-уязвимость в истории Интернета

Вчера стало известно, что одна из популярнейших криптографических библиотек OpenSSL содержит критическую уязвимость. Ошибка, получившая название HeartBleed, позволяет хакерам получить доступ к любым коммуникациям, защищенным уязвимой версией OpenSSL (1.0.1, 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1). Это 2/3 веб-сайтов Интернета! Уязвимость существует с 2012 года!

heartbleed

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за ошибки программистов The OpenSSL Project, кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

На практике это означает, что все логины и пароли, вводимые на подверженных HeartBleed сайтах, с большой долей вероятности могли быть украдены. На вчерашний день уязвимости были подвержены целый ряд банков, платежных систем, почтовых сервисов. Согласно неофициальному отчету Github, Apple.com и iCloud не входили в число потенциально опасных сайтов, но официальных комментариев от Apple пока не поступало. В данный момент многие (особенно крупные) сайты пропатчили OpenSSL до безопасной версии 1.0.1g. Однако, следует помнить, что с 2012 года прошло много времени и никто не даст гарантию, что ваши данные уже не оказались в чьих-то руках.

Что делать пользователям? Во-первых, сменить все важные пароли! Но! Прежде чем менять пароль, убедитесь, что сайт не содержит HeartBleed. Для HTTPS есть три сервиса: filippo.io/Heartbleed/, possible.lv/tools/hb/ и www.ssllabs.com/ssltest/. Пользователям Linux необходимо срочно обновиться до последней доступной версии OpenSSL (в репозиториях уже есть пропатченная). В OS X по умолчанию используется более ранняя версия OpenSSL 0.9.8 и если вы не обновляли ее вручную, то ничего делать не нужно. Windows не использует OpenSSL и если вы не устанавливали его самостоятельно, то поводов для беспокойства нет.

HeartBleed уже называют самой опасной веб-уязвимостью «всех времен и народов». Сотрудники компании Codenomicon, обнаружившие баг, подготовили подробное описание и открыли для него отдельный сайт. Авторство «логотипа» также принадлежит им. Кроме того, подробнее о HeartBleed можно прочесть на Хабрахабр здесь и здесь.