Heartbleed — это серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OpenSSL, которая существует из-за ошибки в реализации протокола Transport Layer Security (TLS). OpenSSL используется как для обеспечения, так и для проверки безопасных соединений между веб-серверами и клиентами.
Уязвимость была обнаружена Нилом Мехтой из Google Security и командой исследователей безопасности из Codenomicon и публично раскрыта 7 апреля 2014 года. Уязвимость потенциально может позволить украсть или подделать конфиденциальную, конфиденциальную или финансовую информацию, если она используется. на уязвимом сайте. Уязвимости было присвоено название «heartbleed» из-за того, что она влияет на функцию «heartbeat» OpenSSL, с помощью которой клиенты и чаще всего серверы поддерживают соединение без бесконечного трафика.
Heartbleed — это функция OpenSSL, которая была представлена в версии 1.0.01 в марте 2012 года и не была доступна до апреля 2014 года. После подключения к уязвимому серверу запрос Heartbeat может быть отправлен как часть протокола или злоумышленником. . Запрос включает в себя произвольную полезную нагрузку данных размером до 64 КБ и проверяется ответом, были ли данные получены с сервера. Уязвимость Heartbleed позволяет злоумышленнику отправить контрольный запрос с размером полезной нагрузки, превышающим указанный в запросе. При этом вредоносный запрос не будет проверяться ответом, а вместо этого сервер переполнит выделенную ему память и отправит обратно до 64 КБ случайной памяти сервера.
Уязвимость стала чрезвычайно широко распространенной из-за возможности использовать популярные веб-серверы, использующие OpenSSL, для доставки зашифрованных веб-соединений. С момента объявления многие крупные компании, в том числе Google, Github, Kayak, Yahoo и Dropbox, заявили, что они пострадали от этой ошибки.
Ошибка Heartbleed теперь исправлена на многих веб-сайтах, и обычному пользователю следует быть в безопасности и предпринять дополнительные меры для защиты своих онлайн-аккаунтов. Сюда входит изменение паролей, которые использовались во время потенциальных атак, и включение двухфакторной аутентификации, если она доступна. Пользователям также рекомендуется быть в курсе обновлений безопасности веб-сайта и постоянно проверять новости, связанные с Heartbleed и другими уязвимостями.
