Måndagen den 7 april hittades en stor sårbarhet känd som "Heartbleed" i det populära OpenSSL kryptografiska biblioteket, som används flitigt med applikationer och webbservrar. Webbplatserna och tjänsterna över Internet är alltså upptagna med att korrigera denna sårbarhet och uppdatera SSL-certifikaten för att skydda sina kunder. Som sagt, OpenSSL v1.0.1 till och med 1.0.1f (inklusive) är sårbara och OpenSSL 1.0.1g som släpptes den 7 april 2014 fixar detta fel.
Ett utdrag från Heartbleed.com säger,
The Heartbleed Bug är en allvarlig sårbarhet i det populära OpenSSL kryptografiska programbiblioteket. Denna svaghet gör det möjligt att stjäla informationen skyddad, under normala förhållanden, av SSL/TLS-krypteringen som används för att säkra Internet. SSL/TLS tillhandahåller kommunikationssäkerhet och integritet över Internet för applikationer som webb, e-post, snabbmeddelanden (IM) och vissa virtuella privata nätverk (VPN).
Heartbleed-felet tillåter vem som helst på Internet att läsa minnet i de system som skyddas av de sårbara versionerna av OpenSSL-programvaran. Detta gör att angripare kan avlyssna kommunikation, stjäla data direkt från tjänsterna och användarna och att imitera tjänster och användare.
Kontrollera om din webbplats eller Android-telefon påverkas av Heartbleed-bugg –
Det finns vissa tjänster som kan berätta om webbplatsen som du har anförtrott med din information var eller fortfarande är sårbar, och när dess certifikat uppdaterades.
Filippo Valsordas Heartbleed-test – filippo.io/Heartbleed
Ange en URL eller ett värdnamn för att testa din server för Heartbleed (CVE-2014-0160). Du kan ange en port som denna example.com:4433. 443 som standard.
LastPass Heartbleed checker – lastpass.com/heartbleed
Se om en webbplats är sårbar för Heartbleed. Den visar webbplatsens serverprogramvara, berättar om den var sårbar och om SSL-certifikatet nu är säkert och när det senast skapades.
Chromebleed (tillägg för Google Chrome)
Visar en varning om webbplatsen du surfar på är påverkad av Heartbleed-bugg. Den kontrollerar webbadressen till sidan med Filippos tjänst. Användbart om du inte vill kontrollera webbplatserna manuellt.
Mashable har följt en intressant lista över välkända webbplatser som anger deras nuvarande status, om de påverkades och om du bör ändra ditt lösenord.
Heartbleed Detector för Android –
Android-användare kan enkelt kontrollera om deras Android-enhet är sårbar för HeartBleed-bugg med en gratis app som heter "Heartbleed Detector" från Lookout Mobile Security. Appen avgör vilken version av OpenSSL din enhet använder. Om din enhet kör en av de berörda versionerna av OpenSSL, kontrollerar den sedan om det specifika sårbara beteendet är aktiverat eller inte.
Men om din enhet är sårbar finns det inga nödvändiga åtgärder du kan vidta, såvida inte en patch släpps av Google eller din enhetstillverkare.
Etiketter: AndroidSecurity