07.06.2014, 05:11
Każdy pamięta niedawne ujawnienie luki Heartbleed, która została nazwana "największym zagrożeniem w dziejach internetu". Bug pozwalał na kradzież danych z serwerów i niemożliwe jest podsumowanie, jakich szkód narobił. Tymczasem odkryto kolejną dziurę w OpenSSL..
Jeśli haker przebywa w tej samej sieci, co użytkownik, ma dzięki usterce możliwość deszyfrowania prywatnych danych. Jest to atak typu "man in the middle", polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami - oczywiście bez ich wiedzy. Skala zagrożenia jest znacznie mniejsza niż Heartbleed, a luka znajduje się w wersjach OpenSSL z numerami 1.0.1 oraz 1.0.2-beta1. Użytkownicy wymienionych powinni je zmienić na wersje 1.0.1h. Podobnie tam, gdzie działają OpenSSL 0.9.8 oraz OpenSSL 1.0.0, należy zaktualizować wersje do (odpowiednio) 0.9.8za i 1.0.0m.
A dlaczego skala zagrożenia jest mniejsza? Ponieważ przede wszystkim na ataki narażone są osoby używające sieci publicznych, zwłaszcza Wi-fi. Ponadto przeciętny użytkownik posługuje się przeglądarką, która nie używa OpenSSL - wyjątkiem mobilna wersja Chrome. Żeby haker skorzystał z "dziurawego" OpenSSL, musi być ono zarówno po stronie serwera, jak i klienta, aby haker mógł przechwycić dane.
Jeśli haker przebywa w tej samej sieci, co użytkownik, ma dzięki usterce możliwość deszyfrowania prywatnych danych. Jest to atak typu "man in the middle", polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami - oczywiście bez ich wiedzy. Skala zagrożenia jest znacznie mniejsza niż Heartbleed, a luka znajduje się w wersjach OpenSSL z numerami 1.0.1 oraz 1.0.2-beta1. Użytkownicy wymienionych powinni je zmienić na wersje 1.0.1h. Podobnie tam, gdzie działają OpenSSL 0.9.8 oraz OpenSSL 1.0.0, należy zaktualizować wersje do (odpowiednio) 0.9.8za i 1.0.0m.
A dlaczego skala zagrożenia jest mniejsza? Ponieważ przede wszystkim na ataki narażone są osoby używające sieci publicznych, zwłaszcza Wi-fi. Ponadto przeciętny użytkownik posługuje się przeglądarką, która nie używa OpenSSL - wyjątkiem mobilna wersja Chrome. Żeby haker skorzystał z "dziurawego" OpenSSL, musi być ono zarówno po stronie serwera, jak i klienta, aby haker mógł przechwycić dane.
![[Obrazek: 276673_resize_588x1000.jpg]](http://g1.pcworld.pl/news/thumbnails/276673_resize_588x1000.jpg)
Za: pc world.pl