ביום שני, 7 באפריל, נמצאה פגיעות גדולה המכונה "Heartbleed" בספריית ההצפנה הפופולרית OpenSSL, שנמצאת בשימוש נרחב עם יישומים ושרתי אינטרנט. האתרים והשירותים ברחבי האינטרנט עסוקים אפוא בתיקון פגיעות זו ובעדכון תעודות ה-SSL כדי להגן על לקוחותיהם. כאמור, OpenSSL v1.0.1 עד 1.0.1f (כולל) פגיעים ו-OpenSSL 1.0.1g ששוחרר ב-7 באפריל, 2014 מתקן את הבאג הזה.
קטע מתוך Heartbleed.com אומר,
באג Heartbleed הוא פגיעות רצינית בספריית תוכנות ההצפנה הפופולרית OpenSSL. חולשה זו מאפשרת גניבת המידע המוגן, בתנאים רגילים, על ידי הצפנת SSL/TLS המשמשת לאבטחת האינטרנט. SSL/TLS מספק אבטחת תקשורת ופרטיות דרך האינטרנט עבור יישומים כגון אינטרנט, דואר אלקטרוני, הודעות מיידיות (IM) וכמה רשתות וירטואליות פרטיות (VPNs).
באג Heartbleed מאפשר לכל אחד באינטרנט לקרוא את הזיכרון של המערכות המוגנות על ידי הגרסאות הפגיעות של תוכנת OpenSSL. זה מאפשר לתוקפים לצותת לתקשורת, לגנוב נתונים ישירות מהשירותים ומהמשתמשים ולהתחזות לשירותים ולמשתמשים.
בדוק אם האתר או טלפון האנדרואיד שלך מושפעים מבאג Heartbleed –
ישנם שירותים מסוימים שיכולים לומר לך אם האתר שהפקדת על המידע שלך היה או עדיין פגיע, ומתי האישור שלו עודכן.
מבחן Heartbleed של Filippo Valsorda – filippo.io/Heartbleed
הזן כתובת URL או שם מארח כדי לבדוק את השרת שלך עבור Heartbleed (CVE-2014-0160). אתה יכול לציין יציאה כזו example.com:4433. 443 כברירת מחדל.
בודק LastPass Heartbleed – lastpass.com/heartbleed
בדוק אם אתר פגיע ל-Heartbleed. זה מראה את תוכנת השרת של האתר, אומר אם היא הייתה פגיעה ואם תעודת ה-SSL בטוחה כעת ומתי נוצרה לאחרונה.
Chromebleed (תוסף Google Chrome)
מציג אזהרה אם האתר שבו אתה גולש מושפע מבאג Heartbleed. הוא בודק את כתובת האתר של הדף באמצעות השירות של פיליפו. שימושי אם אינך רוצה לבדוק את האתרים באופן ידני.
Mashable ציינה רשימה מעניינת של אתרים ידועים המציינים את הסטטוס הנוכחי שלהם, האם הם הושפעו והאם עליך לשנות את הסיסמה שלך.
גלאי Heartbleed עבור אנדרואיד -
משתמשי אנדרואיד יכולים לבדוק בקלות אם מכשיר האנדרואיד שלהם פגיע לבאג HeartBleed עם אפליקציה חינמית בשם "Heartbleed Detector" מבית Lookout Mobile Security. האפליקציה קובעת באיזו גרסה של OpenSSL המכשיר שלך משתמש. אם המכשיר שלך מריץ אחת מהגרסאות המושפעות של OpenSSL, הוא בודק אם ההתנהגות הפגיעה הספציפית מופעלת או לא.
עם זאת, אם המכשיר שלך פגיע, אין שום פעולה הכרחית שתוכל לנקוט, אלא אם כן שוחרר תיקון על ידי Google או יצרן המכשיר שלך.
תגיות: AndroidSecurity