Критическая уязвимость в OpenSSL ставит под удар огромный объем интернет-данных

[yahoo]

Большинство уязвимостей в системе безопасности интернета, даже весьма значительных, сулят неприятности лишь достаточно ограниченному числу пользователей, работающих с соответствующим программным обеспечением или посещающих мошеннические сайты. Однако “дыра” под названием Heartbleed Bug, о которой стало известно не столь давно, способна принести гораздо больше неприятностей. В данном случае ошибка закралась в некоторые версии OpenSSL, повсеместно используемого криптографического пакета.

Используя данную уязвимость, хакеры могут получать несанкционированный доступ не только к зашифрованному трафику в интернете, но и собственно к ключам шифрования, что дает возможность без особого труда ознакомиться с закодированной информацией (подчас носящей сугубо конфиденциальный характер). Таким образом, злоумышленник вполне может украсть приватные данные с какого-либо сайта, причем, пострадавшие об этом даже не узнают, поскольку следов взлома в привычном понимании тут не остается.

Самое неприятное заключается в том, что упомянутая выше уязвимость присутствует во всем интернете уже два года со времен выхода криптографической библиотеки OpenSSL 1.0.1. Другими словами, кибер-преступники, осведомленные об этой “дыре”, получали доступ к огромному объему конфиденциальной информации, перемещавшейся в виде трафика по Всемирной Паутине.

(с)
Всё действительно серьёзно? Или журналамерство?

 

[Кочевник]

Прочитав наскоро оригінал статті. Нібито дійсно є можливість красти сертифікати, логіни та паролі. Зокрема, дослідникам це вдалося.

 

[Mobijolo]

Всё действительно серьёзно? Или журналамерство?

Серъёзно если на сайте передаются ваши крайне важные конфиденциальные данные. Если важность данных не критична, то ИМХО не стоит заморачиваться и менять пароль (выполняя рекомендацию) т.к. есть вообще сайты с незащищённым соединением и ничего, пользуются люди. А тут хоть какое-никакое, но защищённое соединение. Да и не каждый хакер умеет использовать существующие уязвимости. К тому же какой смысл менять пароль если уязвимость пока не устранили.

уже доступно обновленное ПО с защитой от Heartbleed Bug

Какое ПО?

упомянутая выше уязвимость присутствует во всем интернете уже два года со времен выхода криптографической библиотеки OpenSSL 1.0.1

Два года всё было хорошо. То есть не слишком критично.

 

[RifleR]

Какое ПО?

бібліотеки OpenSSL.

Два года всё было хорошо. То есть не слишком критично.

два роки про це не знали. Але те, що про це не було відомо широкій громадськості, не значить, що взагалі ніхто не знав і не користувався даною вразливістю.

 

[newmentos]

Объяснение сути Heartbleed в виде комикса.