En af de mest kendte sårbarheder i midten af 2010'erne blev kaldt "Heartbleed". Heartbleed var særligt alvorlig, fordi det var softwaren, den påvirkede "OpenSSL", det vigtigste kryptografiske bibliotek for HTTPS-forbindelser, som er meget udbredt. For at gøre ondt værre havde sårbarheden været til stede i OpenSSL i mere end to år, før den blev opdaget, offentliggjort og rettet, hvilket betød, at mange mennesker brugte en sårbar version.
Heartbleed var en sårbarhed over for datalæk i heartbeat-udvidelsen, der, når den blev udnyttet, lækkede data fra RAM fra serveren til klienten. Heartbeat-udvidelsen bruges til at opretholde en forbindelse mellem webserveren og klienten uden at lave en normal sideanmodning.
I tilfælde af OpenSSL sender klienten en besked til serveren og informerer serveren om, hvor lang beskeden er, op til 64KB. Serveren formodes derefter at ekko den samme besked tilbage. Det er dog afgørende, at serveren faktisk ikke tjekkede, at beskeden var så lang, som klienten hævdede, den var. Dette betød, at en klient kunne sende en 10KB besked, hævde, at den var 64KB og få et 64KB svar, hvor de ekstra 54KB bestod af de næste 54KB RAM, uanset hvilke data der blev gemt der. Denne proces er godt visualiseret af XKCD-tegneserien #1354 .
Billede udlånt af xkcd.com .
Ved at lave en masse små hjerteslagsanmodninger og hævde, at de var store, kunne en angriber bygge et billede af det meste af serverens RAM ved at samle svarene sammen. Data, der er gemt i RAM, som kan blive lækket, omfatter krypteringsnøgler, HTTPS-certifikater samt ukrypterede POST-data såsom brugernavne og adgangskoder.
Bemærk: Det er mindre kendt, men hjerteslagsprotokollen og udnyttelsen virkede også i den anden retning. En ondsindet server kunne være blevet konfigureret til at læse op til 64KB brugerhukommelse pr. hjerteslagsanmodning.
Problemet blev opdaget af flere sikkerhedsforskere uafhængigt den første april 2014 og blev offentliggjort privat til OpenSSL, så en patch kunne oprettes. Fejlen blev offentliggjort, da programrettelsen blev frigivet den syvende april 2014. Den bedste løsning til at løse problemet var at anvende programrettelsen, men det var også muligt at afhjælpe problemet ved at deaktivere hjerteslagsudvidelsen, hvis patchning med det samme ikke var en mulighed.
Desværre, på trods af at udnyttelsen var offentlig og generelt velkendt, blev mange websteder stadig ikke opdateret med det samme, og sårbarheden blev stadig lejlighedsvis fundet, selv år senere. Dette førte til, at en række tilfælde af udnyttelsen blev brugt til at få adgang til konti eller lække data.
Træt af Microsoft Edge Access Denied-fejl, der blokerer bankwebsteder? Opdag hurtige og pålidelige løsninger til at gendanne adgangen sikkert. Trin-for-trin-guide til problemfri bankvirksomhed.
Opdag de ultimative skjulte perler til at spille offlinespil på Microsoft Edge. Fra spændende gåder til endeløse løbespil, nyd topvalg som Surf, Solitaire og mere uden internet. Perfekt til problemfri sjov når som helst!
Oplever du fejlen "Bad Image" i Microsoft Edge efter en systemopdatering? Opdag gennemprøvede trinvise løsninger, der hurtigt løser problemet og giver dig problemfri browsing igen. Ingen tekniske færdigheder kræves!
Støder du på Microsoft Edge-fejl 404, siden blev ikke fundet? Opdag gennemprøvede trinvise løsninger, fra rydning af cache til avancerede nulstillinger, for hurtigt at få din browsing tilbage på sporet. Ingen tekniske færdigheder kræves!
Har du problemer med Netflix-fejl på Microsoft Edge-skrivebordet? Opdag trinvise løsninger som at rydde cachen, deaktivere udvidelser og mere for at streame problemfrit. Hurtige, nemme løsninger, der virker!
Har du problemer med beskadiget Edge-browserprofil? Opdag dokumenterede fejlfinding af problemer med beskadiget Edge-browserprofil trin til at gendanne dine bogmærker, indstillinger og hastighed. Hurtige løsninger indeni!
Frustreret over Microsoft Edge DNS-testen færdig, men intet internet? Opdag dokumenterede trinvise løsninger til at gendanne din forbindelse hurtigt. Virker på den nyeste Windows-version – ingen tekniske færdigheder kræves!
Få styr på fejlfinding af gennemsigtighedsproblemer i Microsoft Edge i Windows 11 med denne trinvise vejledning. Gendan skarpe glimmer- og akryleffekter i Edge uden besvær – ingen teknisk ekspertise nødvendig!
Fejlfind den frustrerende WebView2 Runtime Already Installed-fejl i Microsoft Edge med vores trinvise vejledning. Hurtige løsninger, avancerede løsninger og tips til problemfri WebView2-installation. Kom tilbage til problemfri browsing nu!
Har du problemer med Microsoft Edge, der forårsager overdreven batteriforbrug på din bærbare computer? Opdag dokumenterede fejlfindingstrin, effektivitetstilstande og løsninger, der forlænger batterilevetiden med op til 2 timer. Hurtige, nemme løsninger til Windows-brugere.
