OpenSSL ochiq kriptografik kutubxonasining server va foydalanuvchi o‘rtasidagi https-ulanishni ta’minlaydigan paketida “Heartbleed” deb atalgan kamchilik topildi. Bu haqda “Sukerberg pozvonit” nashri xabar berdi.
Ma’lum bo‘lishicha, ushbu kamchilik qora niyatdagi kishilarga server tezkor xotirasining ayrim qismlarini o‘qish imkonini bergan. Shu tariqa, ular foydalanuvchilarning login va parollari, Cookie’lari va hatto serverning SSL-kalitlarini bilib olgan.
OpenSSL kodiga xato bundan ikki yil avval kirib qolgan bo‘lsa-da, Google xodimi Nil Mexta va Codenomicon kompaniyasi mutaxassislari uni endi aniqladi.
Heartbleed potensial xavfga ega bo‘lgani sababli, jamoatchilik uni qizg‘in muhokama qildi. Ishlab chiquvchilar OpenSSL’ni tezkorlik bilan yangilagan bo‘lsa-da, kamchilik 2012-yildan buyon o‘n millionlab serverlarga “yuqib” ulgurgan.
OpenSSL kutubxonasi dasturchilar va administratorlar orasida ko‘proq mashhur bo‘lsa-da, dunyodagi serverlarning uchdan ikki qismi ushbu texnologiyadan foydalanadi. Shu jumladan, Google, “Yandeks” va “Alfabank”. Heartbleed’dan foydalanib, firibgarlar boshqalarning xatlarini o‘qishi yoki onlayn-banking ma’lumotlariga ega bo‘lishi mumkin edi.
Apple va Microsoft bunday xavfdan omon qoldi: ular o‘zlariga tegishli kriptografik asboblardan foydalanadi. Aksincha, Yahoo’ga ancha ziyon yetgan, ayni paytda u o‘z serverlaridagi dasturiy ta’minotni yangilamoqda.
Izoh (0)