Последние несколько дней общественность буквально стоит на ушах из-за критической уязвимости под названием «Heartbleed», найденной в программном обеспечении популярного открытого проекта OpenSSL. Желая успокоить своих клиентов, Apple вчера сообщила известному технологическому ресурсу Re/code, что iOS, OS X, а также другие ключевые яблочные продукты и сервисы не содержат в себе эту уязвимость.

Пресс-служба компании из Купертино дала следующий комментарий:

Apple очень серьезно относится к вопросам безопасности. iOS и OS X никогда не включали в себя уязвимое программное обеспечение, ключевые веб-сервисы также не были затронуты.

«Heartbleed» представляет из себя уязвимость в популярном пакете с открытым исходным кодом для работы с протоколами SSL/TLS, позволяющем создавать криптографические ключи и сертификаты X.509, подписывать их, шифровать данные и обеспечивать безопасное соединение между клиентами и серверами. В связи с высокой распространённостью OpenSSL под угрозой компрометации пользовательских данных оказывается, по разным подсчетам, около полумиллиона сайтов и сервисов в сети интернет.

Эксперт в вопросах компьютерной безопасности Брюс Шнейер (Bruce Schneier) описывает данную проблему, как «катастрофическую», и по шкале от 1 до 10 ставит ей оценку 11. Данная уязвимость появилась в декабре 2011 года, а уязвимый код стал распространятся вместе с релизом OpenSSL версии 1.0.1 спустя 3 месяца. С её помощью киберпреступник может завладеть практически любой конфиденциальной информацией как веб-сервера, так и пользователей.

Вот как механизм атаки описывается в русскоязычной Википедии:

Атака выполняется путём отправки специфически изменённого heartbeat-запроса, запрашивающего данные из памяти сервера. Из-за отсутствия проверки границ запрашиваемой памяти, подверженные багу версии OpenSSL не проверяли валидность heartbeat-запроса, позволяя атакующему получать непредназначенные для этого данные.

Читая произвольные блоки памяти сервера, злоумышленники могут получить конфиденциальные данные как сервера, так и пользователей. Потенциально уязвимые данные включают закрытый ключ сервера, который может позволить атакующему расшифровывать текущий или сохранённый траффик с помощью атаки man-in-the-middle. Злоумышленник не может запросить доступ к конкретным данным, так как сервер отвечает произвольными блоками памяти.

Баг также может предоставить злоумышленникам части пользовательских запросов или ответов, включая cookie сессии и пароли, таким образом позволяя взломать любого пользователя сервиса. На момент объявления, около 17% или полмиллиона защищённых веб-сайтов предполагаются уязвимыми.

Специалисты настоятельно рекомендуют пользователям сменить все свои пароли на всех ресурсах, которые использовали уязвимое программное обеспечение, но только после того, как их владельцы установят обновления, устраняющие данный недостаток. Список компаний и веб-сервисов, которые пострадали или не пострадали от «Heartbleed», можно найти на сайте Mashable.


Читайте также: