OpenSSL очиқ криптографик кутубхонасининг сервер ва фойдаланувчи ўртасидаги https-уланишни таъминлайдиган пакетида «Heartbleed» деб аталган камчилик топилди. Бу ҳақда «Цукерберг позвонит» нашри хабар берди.
Маълум бўлишича, ушбу камчилик қора ниятдаги кишиларга сервер тезкор хотирасининг айрим қисмларини ўқиш имконини берган. Шу тариқа, улар фойдаланувчиларнинг логин ва пароллари, Cookie’лари ва ҳатто сервернинг SSL-калитларини билиб олган.
OpenSSL кодига хато бундан икки йил аввал кириб қолган бўлса-да, Google ходими Нил Мехта ва Codenomicon компанияси мутахассислари уни энди аниқлади.
Heartbleed потенциал хавфга эга бўлгани сабабли, жамоатчилик уни қизғин муҳокама қилди. Ишлаб чиқувчилар OpenSSL’ни тезкорлик билан янгилаган бўлса-да, камчилик 2012 йилдан буён ўн миллионлаб серверларга «юқиб» улгурган.
OpenSSL кутубхонаси дастурчилар ва администраторлар орасида кўпроқ машҳур бўлса-да, дунёдаги серверларнинг учдан икки қисми ушбу технологиядан фойдаланади. Шу жумладан, Google, «Яндекс» ва «Альфабанк». Heartbleed’дан фойдаланиб, фирибгарлар бошқаларнинг хатларини ўқиши ёки онлайн-банкинг маълумотларига эга бўлиши мумкин эди.
Apple ва Microsoft бундай хавфдан омон қолди: улар ўзларига тегишли криптографик асбоблардан фойдаланади. Аксинча, Yahoo’га анча зиён етган, айни пайтда у ўз серверларидаги дастурий таъминотни янгиламоқда.
Изоҳ (0)