حفره ی HeartBleed رمزگذاری را بی اثر می کند.

یک آسیب پذیری جدید بنام HeartBleed به مهاجمان امکان دستیابی به رمزهای عبور کاربران و هدایت آنها برای استفاده از نسخه ی جعلی وبسایت را فراهم می کند.این مشکل که یکشنبه شب کشف شد در نرم افزاری متن باز بنام OpenSSL که بطور گسترده برای رمزگذاری وب استفاده می شود، وجود دارد.

HeartBleed می تواند محتوای حافظه ی سرورها یعنی جاییکه داده های بسیار حساس نظیر؛ نام کاربری، رمز عبور و شماره ی کارت های بانکی ذخیره می شوند، را فاش سازد.همچنین مهاجم می تواند یک نسخه از کلید دیجیتال بدست آورده و از آن برای جا زدن خود به جای سرور و رمزنگاری ارتباطات گذشته و بطور بالقوه آینده، استفاده نماید.

حفره ی HeartBleed رمزگذاری را بی اثر می کند.

این آسیب پذیری که توسط شرکت امنیتی Codenomicon و با همکاری پژوهشگری از گوگل بنام Neel Mehta کشف شده، بطور رسمی CVE-2014-0160 نام گرفت.

به نقل از Codenomicon این آسیب پذیری، کلید رمزهای استفاده شده برای شناسایی Service Providerها، رمزگذاری ترافیک، نام و رمز عبور کاربران و محتوای وب سایت ها را به خطر انداخته است.همچنین امکان استراق سمع ارتباطات و دزدی مستقیم داده ها از سرویس ها و کاربران و جا زدن خود بجای آنها را ایجاد می کند.

Codenomicon که برای انجام آزمایشات سرورهای خود را مورد حمله قرار داده بود گفت:"ما به خود از بیرون بدون جا گذاشتن هیچ ردپایی حمله کردیم و بدون استفاده از هیچ اطلاعات محرمانه یا صلاحیت دسترسی، توانستیم از سرورهای خود کلید رمزها استفاده شده در گواهی های X.509، نام و رمزعبور کاربران، پیام های ضروری، ایمیل ها و اسناد و ارتباطات مهم کاری را بدزدیم. "

باید توجه داشت که این آسیب پذیری بسیار جدی است، نه فقط بخاطر نیاز به تغییرات قابل ملاحظه در وب سایت که بخاطر اینکه تمامی کاربران وب سایت باید رمز عبور خود را تغییر دهند و همین مشکل بسیار جدی تر و بزرگ تر است چرا که امروزه زندگی بسیاری از مردم بر مبنای سرویس های آنلاینی است که افراد برای استفاده از آنها از نام و رمز عبور یکسانی بهره می برند.

بر طبق گفته ی ستاد مشاوره ی OpenSSL این حفره در نسخه های 1.0.1 و 1.0.2 وجود دارد و در همین راستا OpenSSL نسخه ی 1.0.1g را بعنوان نسخه ی تعمیر شده ارائه کرد اما بسیاری از اپراتورهای وبسایت ها با بروز رسانی آن دچار مشکلند.بعلاوه آنها مجبورند که تمامی گواهینامه های امنیتی که بدلیل این آسیب پذیری ممکن است لطمه دیده باشند را باطل سازند.

 

نظرات 1

  1. mehrdad
    mehrdad در 23 فروردین 1393 14:53

    سلام این ده پانزده پست اخری که گذاشتین خیلی اومده سمت چپ تصویر طوری که لینک ادامه مطلبش دیدیه نیشه !!!

پیام سیستم
برای ارسال نظر، باید در سایت عضو شوید.