10. apríl, 2014 | Tlačové správy

Heartbleed zraniteľnosť: Chyba, ktorá ohrozuje milióny internetových používateľov

HeartbleedFínskym výskumníkom zo spoločnosti Codenomicon a výskumníkom zo spoločnosti Google sa podarilo objaviť zraniteľnosť v šifrovacej technológii, ktorá chráni šifrovanú komunikáciu medzi používateľovým počítačom a serverom webovej stránky, ktorú navštívili.

Heartbleed chyba sa týka softvéru OpenSSL, ktorý sa používa na vytvorenie zabezpečeného spojenia medzi používateľom a webovou službou, čo je pre bežného používateľa viditeľné ako známe S v adrese webstránky, ktorá sa začína na httpS://... Táto chyba bola nepovšimnutá viac ako dva roky. OpenSSL softvér používa mnoho webstránok, vrátane gigantov ako Yahoo, Google a Facebook.


Odporučenia ESETu pre prevádzkovateľov webových služieb:

  • Ak používate OpenSSL vo verzii 1.0.1a až 1.0.1f (prípadne 1.0.2-beta), prejdite na verziu 1.0.1g, prípadne zrekompilujte zraniteľnú verziu s parametrom -DOPENSSL_NO_HEARTBEATS.
  • Svojim používateľom oznámte, že vaša webová služba obsahovala túto zraniteľnosť s informáciou, že už bola odstránená a odporučte im, aby si zmenili prístupové heslá do vašej stránky.

Odporučenia ESETu pre používateľov:

  • V prípade, že využívate službu, ktorá obsahuje túto zraniteľnosť, zmeňte si po jej odstránení prístupové heslá.
  • To, či bola stránka zraniteľná alebo či je zraniteľnosť odstránená, si overte buď priamo u poskytovateľa webstránky alebo prostredníctvom viacerých jednoduchých a voľne dostupných nástrojov ako napríklad http://filippo.io/Heartbleed/
  • Nemeňte svoje prístupové údaje na webe, ktorý je touto chybou stále zasiahnutý. Obzvlášť si momentálny stav overte v banke, ktorej internetové bankovníctvo využívate.

Webové služby spoločnosti ESET nepoužívali dotknuté verzie OpenSSL, zákazníci si teda prístupové heslá meniť nemusia.