پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
کارشناسان امنیت رایانه به مدیران توصیه می کنند نقص جدی موجود در برنامه نرم افزاری خود را که توسط میلیونها وب سایت استفاده می شود تعمیر کرده تا ارتباطات حساس شان را حفظ و پنهان کنند.
منبع : خبرگزاری مهر
کارشناسان امنیت رایانه به مدیران توصیه می کنند نقص جدی موجود در برنامه نرم افزاری خود را که توسط میلیونها وب سایت استفاده می شود تعمیر کرده تا ارتباطات حساس شان را حفظ و پنهان کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این نقص با نام مستعار "خونریزی قلبی"، در چندین نسخه از OpenSSL وجود دارد. OpenSSL برنامه ای است که امکان پنهان سازی رمز نگاری SSL یا TLS را فراهم می کند.

اغلب وب سایت ها از SSL و TLS استفاده می کنند که در موتورهای جستجو با نماد قفل نشان داده می شود.

این نقص تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.

این مشکل در پیاده سازی پروتکل TLS کشف شده و موجب می شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند.

این نقص که در دسامبر ۲۰۱۱ ایجاد شد، در OpenSSL ۱.۰.۱g منتشر شده در روز دوشنبه، اصلاح شده است.

بر اساس این گزارش همه ارتباط‌ات از طریق https که بیشتر سرویس‌های برخط ایمیل، و چت از آن استفاده می‌کنند، smtp و imap که برای تبادل ایمیل استفاده می‌شود و اتصال‌های امن VPN و SSH در معرض خطر هستند. این خطر ارتباط امن بانک‌های اینترنتی را نیز تهدید می‌کند.

این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ی امن با TLS بتواند در هر اتصال، ۶۴ کیلوبایت از حافظه‌ رایانه سوی دیگر ارتباط را بخواند به طوری که با تکرار این کار می‌توان مقدار بیشتری از حافظه را استخراج کرد.

این مقدار از حافظه‌ RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد.

هنوز مشخص نشده است که آیا مهاجمان طی دو سال گذشته از این نقص که دوشنبه هفته جاری رسانه ای شد، سوء استفاده کرده اند یا خیر. اما حملات با استفاده از این نقص، هیچ ردی از خود بر روی رایانه ها نمی گذارد.

کارشناسان امنیت رایانه به مدیران توصیه می کنند از نسخه های به روز شده SSL استفاده کرده وهر گونه کلید به خطر افتاده را لغو و کلیدهای جدید منتشر کنند.
کد مطلب : 7379
https://aftana.ir/vdch.qnqt23nxwftd2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی