Biztonsági kutatók kedden az internet történetének egyik legsúlyosabb biztonsági problémájáról rántották le a leplet: a webkiszolgálók olyan 66 százalékán futó OpenSSL szoftver olyan sérülékenységet rejtett, amely kihasználásával ki lehetett olvasni a szerverek memóriájának egy szeletét. A titkosított SSL/TLS kapcsolat kiépítésért felelős szoftverben körülbelül két évig volt megtalálható a sérülékenység.
Ez két problémát is hozott: egyrészt adott esetben a támadók meglovasíthatták a webszerver privát titkosító kulcsát – tehát kiadhatják az adathalász szerverüket a valódi webhelynek –, másrészt pedig többek közt akár felhasználói bejelentkezési adatokat is kilophattak a kiszolgálók memóriájából. A szerveroldali javítgatás és kárelhárítás már megkezdődött, a netezőknek pedig javasolt megváltoztatniuk a sérülékenynek bizonyult portálokon a jelszavaikat. Plusz nyilván azon nem érintett kiszolgálókon is, amelyeken ugyanazt jelszót használták.
A felhasználói prevenciót nagyban akadályozza a potenciálisan érintett szerverek nagy száma, azonban a jelszókezelő szolgáltatást üzemeltető LastPass elkötelezett a segítségnyújtásban: a bővítmény felhasználóinak lehetőségük nyílik a plugin beépített ellenőrző eszközével leleplezniük az érintett webhelyeket, továbbá a LastPass weboldalán specifikus domaineket megadva is ellenőrizhető egyes szerverek érintettsége.
(Forrás: LifeHacker, LastPass)
