Две трети интернет-серверов мира оказались под угрозой из-за ошибки

Открытый криптографический пакет OpenSSL содержит опасную уязвимость, которая позволяет злоумышленникам получать доступ к оперативной памяти компьютеров. Информация об этом опубликована на сайте разработчиков пакета.

Уязвимость обнаружена в версии OpenSSL 1.0.1, которая вышла в марте 2012 года. Таким образом, в течение более чем двух лет злоумышленники имели возможность похищать информацию, используя данную брешь в безопасности, оставаясь при этом незамеченными. Воспользовались ли хакеры этой возможностью, неизвестно.

На сегодняшний день уязвимая версия OpenSSL работает на многих почтовых серверах в интернете, веб-серверах Apache и Nginx, в программах для обмена сообщениями и так далее. Как пишет Ars Technica, до 2/3 всех веб-серверов в Сети, использующих протокол HTTPS, подвержены риску утери конфиденциальной пользовательской информации, включая пароли и ключи шифрования.

В настоящее время разработчики OpenSSL выпустили "заплатку" - версию 1.0.1g, которую всем администраторам и разработчикам рекомендуется установить как можно быстрее. После установки обновления пользователи веб-сервисов должны быть предупреждены о возможной утечке их паролей.

Энтузиасты, обнаружившие уязвимость, запустили специальный сайт, который проверяет, подвержен тот или иной сайт возможной краже информации с использованием данной уязвимости. Как показали результаты тестирования, большинство популярных в России веб-сервисов, включая Gmail и "Яндекс.Почту", не содержат "дыру" в безопасности, позволяющую похищать пользовательские и другие данные. Подробное описание уязвимости и перечень мер по обеспечению безопасности на английском языке опубликованы на сайте Heartbleed.com.