به گزارش خبرگزاری مهر، این نقص با نام مستعار "خونریزی قلبی"، در چندین نسخه از OpenSSL وجود دارد. OpenSSL برنامه ای است که امکان پنهان سازی رمز نگاری SSL یا TLS را فراهم می کند.
اغلب وب سایت ها از SSL و TLS استفاده می کنند که در موتورهای جستجو با نماد قفل نشان داده می شود.
این نقص تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه میدهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.
این مشکل در پیاده سازی پروتکل TLS کشف شده و موجب می شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده میکنند، آسیب پذیر باشند.
این نقص که در دسامبر 2011 ایجاد شد، در OpenSSL 1.0.1g منتشر شده در روز دوشنبه، اصلاح شده است.
بر اساس این گزارش همه ارتباطات از طریق https که بیشتر سرویسهای برخط ایمیل، و چت از آن استفاده میکنند، smtp و imap که برای تبادل ایمیل استفاده میشود و اتصالهای امن VPN و SSH در معرض خطر هستند. این خطر ارتباط امن بانکهای اینترنتی را نیز تهدید میکند.
این مشکل خطرناک در حقیقت اجازه میدهد که هر کاربری در ارتباط دو سویهی امن با TLS بتواند در هر اتصال، 64 کیلوبایت از حافظه رایانه سوی دیگر ارتباط را بخواند به طوری که با تکرار این کار میتوان مقدار بیشتری از حافظه را استخراج کرد.
این مقدار از حافظه RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد.
هنوز مشخص نشده است که آیا مهاجمان طی دو سال گذشته از این نقص که دوشنبه هفته جاری رسانه ای شد، سوء استفاده کرده اند یا خیر. اما حملات با استفاده از این نقص، هیچ ردی از خود بر روی رایانه ها نمی گذارد.
کارشناسان امنیت رایانه به مدیران توصیه می کنند از نسخه های به روز شده SSL استفاده کرده وهر گونه کلید به خطر افتاده را لغو و کلیدهای جدید منتشر کنند.
نظر شما