Една от най-известните уязвимости от средата на 2010-те се наричаше „Heartbleed“. Heartbleed беше особено сериозен, защото засегна софтуера „OpenSSL“, основната криптографска библиотека за HTTPS връзки, които са много широко използвани. За да влоши нещата, уязвимостта присъстваше в OpenSSL повече от две години, преди да бъде открита, оповестена и коригирана, което означаваше, че много хора използват уязвима версия.
Heartbleed беше уязвимост при изтичане на данни в разширението за сърдечен ритъм, което при експлоатиране изтече данни от RAM от сървъра към клиента. Разширението на сърдечния ритъм се използва за поддържане на връзка между уеб сървъра и клиента, без да се прави нормална заявка за страница.
В случай на OpenSSL, клиентът изпраща съобщение до сървъра и информира сървъра колко дълго е съобщението, до 64KB. След това сървърът трябва да повтори същото съобщение. Най-важното обаче е, че сървърът всъщност не е проверил дали съобщението е толкова дълго, колкото клиентът твърди, че е. Това означаваше, че клиентът може да изпрати съобщение от 10KB, да твърди, че е 64KB и да получи отговор от 64KB, като допълнителните 54KB се състоят от следващите 54KB RAM, без значение какви данни се съхраняват там. Този процес е добре визуализиран от XKCD комикс #1354 .
Изображението е предоставено от xkcd.com .
Като прави много малки заявки за сърдечен ритъм и твърди, че са големи, нападателят може да изгради картина на по-голямата част от RAM на сървъра, като събере отговорите заедно. Данните, които се съхраняват в RAM, които могат да бъдат изтекли, включват ключове за криптиране, HTTPS сертификати, както и некриптирани POST данни, като потребителски имена и пароли.
Забележка: Това е по-малко известно, но протоколът за сърдечен ритъм и експлойтът също работиха в другата посока. Злонамерен сървър може да бъде конфигуриран да чете до 64KB потребителска памет на заявка за сърдечен ритъм.
Проблемът беше открит от множество изследователи по сигурността независимо на първи април 2014 г. и беше разкрит частно на OpenSSL, за да може да се създаде корекция. Грешката беше публикувана, когато корекцията беше пусната на седми април 2014 г. Най-доброто решение за разрешаване на проблема беше да се приложи корекцията, но също така беше възможно проблемът да се отстрани чрез деактивиране на разширението за сърдечен ритъм, ако незабавното коригиране не беше опция.
За съжаление, въпреки че експлойтът е публичен и като цяло добре известен, много уебсайтове все още не се актуализираха веднага, като уязвимостта все още понякога се открива дори години по-късно. Това доведе до редица случаи на експлойта, използван за получаване на достъп до акаунти или изтичане на данни.
Омръзна ли ви от конфликт при синхронизиране на множество профили в Microsoft Edge, който съсипва сърфирането ви? Открийте поетапни решения за разрешаване на грешки при синхронизиране, обединяване на профили и безпроблемно синхронизиране на различни устройства. Работи с най-новите версии на Edge!
Уморени ли сте от грешка „Паузиран акаунт“ в Microsoft Edge Sync, която прекъсва сърфирането ви? Открийте бързи и ефективни стъпки за отстраняване на неизправности, за да възстановите безпроблемната синхронизация на всички устройства. Актуализирано с най-новите корекции за безпроблемно изживяване в Edge.
Справете се с досадната грешка „Неразпознат диск“ за обратно съвместими игри на Xbox Series X|S. Следвайте нашите доказани, стъпка по стъпка решения, за да възстановите незабавно вашата класическа библиотека с игри.
Имате проблеми с грешката при нулиране на ПИН кода в Microsoft Edge за Windows Hello? Открийте подробни решения, за да я разрешите бързо. Възстановете достъпа до браузъра си безпроблемно – актуализиран за най-новите актуализации на Windows.
Имате проблеми с празен бял екран в Microsoft Edge при стартиране? Открийте подробни решения за проблема с празен бял екран в Edge, от бързо нулиране до разширени поправки. Върнете се към плавното сърфиране!
Ръководство стъпка по стъпка за това как да архивирате данни в Microsoft Edge, като отметки, пароли, история и настройки, преди системно нулиране. Защитете основните си данни за сърфиране с лесни и надеждни методи.
Заседнали сте с грешка „Няма сигнал при 60 кадъра в секунда“ в Microsoft Edge Capture Card? Открийте доказани решения за възстановяване на сигнала, плавно достигане на 60 кадъра в секунда и стрийминг без забавяне. Ръководство стъпка по стъпка за незабавни резултати!
Уморени ли сте от досадната грешка при конфигуриране на Microsoft Edge Side-by-Side? Открийте прости, стъпка по стъпка решения, за да я разрешите бързо и да възстановите плавното сърфиране. Актуализирано с най-новите решения!
Заседнали сте с грешка 124 в инсталатора на Microsoft Edge? Получете подробни решения, за да отстраните бързо грешките при инсталиране. Доказани решения за безпроблемна настройка на Edge на Windows. Не са необходими технически умения!
Уморени ли сте от грешка 124 в инсталатора на Microsoft Edge, която блокира инсталирането на Windows 11? Следвайте нашите доказани и лесни решения, за да я разрешите бързо и да възстановите безпроблемното сърфиране. Не са необходими технически познания!
