Heartbleed vs. Apple

Skarp 2014.04.11. 14:39 Apple, Egyéb 0 db 438

Az OpenSSL négy napja jelentette be, hogy elég nagy biztonsági rést találtak, ami kismillió weboldalt, online szolgáltatást veszélyeztet, közötte bankokat vagy a kritikus infrastruktúra egyéb elemeit. Bár a CVE-2014-0160 kódnevű hibát már javították, nagyon sok kiemelt fontosságú szerver még mindig nem került updatelésre, ráadásul a hétfői bejelentés óta a fontosabb oldalakra rászálltak az ártó szándékú emberek, így a szervezet illetékesei mindenkinek javasolják a javítás mielőbbi telepítését. Az SSL bug azért ekkora horderejű, mert az internetes oldalak több, mint felét teszik már ki a https cím alól elérhető szájtok.

Hogy konkrétan mi is a Heartbleed? Nagyon leegyszerűsítve arról van szó, hogy az érintett verziót futtató szerverek memóriájának titkosítatlan tartalmaihoz gyakorlatilag bárki hozzáférhet. Ha ezek mondjuk szenzitív dolgok, pl. banki adatok, jelszavak vagy hasonlók, akkor nagy a probléma. Az egészet súlyosbítja, hogy számos operációs rendszert szállítanak a problémás verzióval, mint pl. a Debian, az OpenBSD, az Ubuntu vagy a Fedora különböző verzióit. Meg persze az is, hogy mivel csak a memóriához férnek hozzá a behatolók, nyoma sem marad a támadásnak. Közösségi oldalak, email-szolgáltatók, és egy sor egyéb fontos oldal  és szolgáltatás lehet slamasztikában.

Szerencse a szerencsétlenségben, hogy teljesen véletlenszerű adathalmazok kerülnek illetéktelen kezekbe, amelyekben bár vannak ember számára is olvasható részletek, de legalább nem lehet konkrétan valaki ellen használni, hiszen annak valószínűsége, hogy pont egy releváns adathalmazt kapunk, gyakorlatilag egyenlő a nullával. Ahol érzékeny adataink vannak, azért mindenképpen érdemes megváltoztatni a jelszót, természetesen csak ha meggyőződtünk, hogy updatelték az SSL előtte. A hibát egyébként egy Google-ös alkalmazott fedezte fel, úgyhogy a Gmailben és a Google egyéb szolgáltatásaiban még a nagy bejelentés és a roham megindítása előtt javították a rést.

Na de kérdés, hogy mennyire veszélyezteti ez az Applet-ökoszisztémát, pl. az iCloudot. A válasz röviden: semennyire. A cég szóvívője szerint soha nem is használták a kérdéses verziókat semmilyen környezetben sem – így megnyugodhatunk: nem érinti almás eszközeinket és szolgáltatásainkat a Heartbleed. Mindazonáltal az Androidosok nem ilyen szerencsések: a Google utólagos bejelentése alapján a Jelly Bean pont ezt a verziószámot használja. Persze gyorsan hozzátették, hogy a gyártókkal karöltve már dolgoznak a patcheken. Nagy segítség lehet a Chromeosoknak a Chromebleed plugin, ami jelzi, hogy a látogatott oldalon már javították-e a hiányosságot, vagy sem. Amennyiben igen, fontos lecserélni a jelszavakat, hiszen nem tudni, meddig gyűrűzhet a botrány és milyen következményekkel járt vagy jár a jövőben.

Tetszett a bejegyzés? Lájkold, csiripeld, oszd meg!

A szerző

Szólj hozzá Te is!