Elérhetőségeink:
 W-Comp Solutions Számítás-
   technikai és Elektronikai KFT.
  • székhely: 3300 Eger, Vasút u. 10.
  • telefon: (+36) 30 352-36-29
  • e-mail: info@w-comp.hu
Androidos termékeket is veszélyeztethet a Heartbleed

A sérülékeny OpenSSL nem csak webes szolgáltatásokban található meg, hanem egy sor hálózati eszközben és az Androidban is. A Cisco már közzétette és folyamatosan frissíti sérülékeny termékei listáját. Az Androidnak a Google szerint csak a 4.1.1 verziója érintett.

A hét elején derült fény az OpenSSL könyvtár biztonsági hibájára, amelyen keresztül támadók autentikáció nélkül hozzáférnek a sérülékeny rendszerek memóriájához és így azokról érzékeny információkat tudnak eltulajdonítani, például a titkosításhoz használt kulcsokat is, amelyek birtokában a teljes titkosított forgalmat visszafejthetik.

Egy sor Cisco-termék érintett

Az OpenSSL majdnem két éve sebezhető ezen a hibán keresztül és senki sem tudja, hogy valaha valaki kihasználta-e a sérülékenységet érzékeny adatok eltulajdonításához, mivel a hibát kihasználó támadásoknak a szerverlogokban nincs nyoma. A weboldalak és webes szolgáltatások üzemeltetői rohamtempóban cserélték le a sebezhető OpenSSL implementációkat a kijavított változatra, így a felhasználóknak csak a jelszavukat kell megváltoztatnia ahhoz, hogy minimalizálják a kockázatokat.

Azonban nem csak szerverek használják az OpenSSL-t. A hálózati eszközök legnagyobb gyártója, a Cisco egy terjedelmes listát hozott nyilvánosságra azokról az eszközeiről, amelyek a sebezhető OpenSSL-verziókat használják, ezeket a berendezéseket és szoftvereket ugyanúgy érinti a "Heartbleed" hiba mint a weboldalakat és webes szolgáltatásokat. A javítás azonban itt sokkal bonyolultabb, a felhasználó nem cserélheti le szimplán az OpenSSL-t egy javított verzióra, meg kell várnia, mire az eszközgyártó kijavítja a hibát és kiadja az új firmware-t. Az eszközök listája ide kattintva érhető el.

A Cisco oldalán található lista szerint a vállalatnak 16 terméke biztosan sérülékeny az OpenSSL-en keresztül, további 65-öt pedig jelenleg vizsgálnak a cég szakemberei, így a sebezhető termékek száma a közeljövőben még gyarapodhat is. A listában szerepelnek azok az eszközök is, amelyek bizonyítottan nem sebezhetők. A Juniper is közzétett a weboldalán egy OpenSSL-ről szóló riasztást, az azonban csak regisztrált felhasználók számára érhető el. Corey Olfert, a vállalat szóvivője a Wall Street Journalnak elmondta, hosszú folyamat kideríteni, milyen eszközök sebezhetők és nem is tudja megmondani egyelőre, mikorra lesznek kijavítva. A Juniper néhány VPN termékét már kedden frissítette, hogy a továbbiakhoz mikor érkezik javítás, egyelőre nem tudni.

Az Android is OpenSSL-t használ

A legelterjedtebb mobil operációs rendszer, az Android is az OpenSSL könyvtárat használja és a Google rendszerének bizonyos változatai ezáltal szintén sebezhetők, az Android 4.1.1 biztosan az, ezt a Google is megerősítette. Ha valakinek kétségei vannak afelől, sérülékeny-e a telefonján futó rendszer, a Play Store-ból telepíthet egy programot, amely ellenőrzi az Androidban található OpenSSL-verziót, valamint hogy a sérülékenységet tartalmazó komponens be van-e kapcsolva. Ez a szoftver egyébként az Android 4.2.2-t is sebezhetőnek találja egy HTC One X-en.

A hálózati eszközöknél talán még nagyobb gondban lehetnek a mobiltelefon-használók, ugyanis ezek esetében egyáltalán nem biztos, hogy valaha érkezik javítás a problémára. Nincs garancia arra, hogy minden telefongyártó implementálja a frissítést, mint ahogy arra sem, hogy a friss szoftververziók eljutnak a készülékek tulajdonosaihoz a mobilszolgáltatókon keresztül.
feltöltve: 2014. április 13.
 
W-Comp © 2013 Minden jog fenntartva! Főoldal    ::    Szolgáltatások    ::    Árak    ::    Elérhetőségek