Yksi 2010-luvun puolivälin tunnetuimmista haavoittuvuuksista oli nimeltään "Heartbleed". Heartbleed oli erityisen vakava, koska se vaikutti ohjelmistoon "OpenSSL", joka on erittäin laajalti käytettyjen HTTPS-yhteyksien tärkein salauskirjasto. Asiaa pahensi se, että haavoittuvuus oli ollut OpenSSL:ssä yli kaksi vuotta ennen kuin se löydettiin, julkistettiin ja korjattiin, mikä tarkoitti, että monet ihmiset käyttivät haavoittuvaa versiota.
Heartbleed oli tietovuodon haavoittuvuus heartbeat-laajennuksessa, joka vuotanut tietoja RAM-muistista palvelimelta asiakkaalle, kun sitä hyödynnettiin. Heartbeat-laajennusta käytetään ylläpitämään yhteyttä verkkopalvelimen ja asiakkaan välillä ilman normaalia sivupyyntöä.
OpenSSL:n tapauksessa asiakas lähettää viestin palvelimelle ja ilmoittaa palvelimelle viestin pituuden, enintään 64 kt. Palvelimen oletetaan sitten toistavan saman viestin takaisin. Ratkaisevaa on kuitenkin, että palvelin ei itse asiassa tarkistanut, että viesti oli niin pitkä kuin asiakas väitti sen olevan. Tämä tarkoitti, että asiakas saattoi lähettää 10 kt:n viestin, väittää sen olevan 64 kt ja saada 64 kt:n vastauksen. Ylimääräiset 54 kt koostuivat seuraavasta 54 kt:n RAM-muistista riippumatta siitä, mitä tietoja sinne oli tallennettu. XKCD-sarjakuva #1354 visualisoi tämän prosessin hyvin .
Kuva: xkcd.com .
Tekemällä paljon pieniä sykepyyntöjä ja väittämällä niiden olevan suuria, hyökkääjä pystyi rakentamaan kuvan suurimmasta osasta palvelimen RAM-muistia yhdistämällä vastaukset. RAM-muistiin tallennettuja tietoja, jotka voivat vuotaa, ovat salausavaimet, HTTPS-sertifikaatit sekä salaamattomat POST-tiedot, kuten käyttäjätunnukset ja salasanat.
Huomautus: Se on vähemmän tunnettu, mutta heartbeat-protokolla ja hyväksikäyttö toimivat myös toiseen suuntaan. Haitallinen palvelin olisi voitu määrittää lukemaan jopa 64 kt käyttäjämuistia sykepyyntöä kohden.
Useat tietoturvatutkijat havaitsivat ongelman itsenäisesti huhtikuun 1. päivänä 2014, ja se paljastettiin yksityisesti OpenSSL:lle, jotta korjaustiedosto voitaisiin luoda. Virhe julkistettiin, kun korjaustiedosto julkaistiin 7. huhtikuuta 2014. Paras ratkaisu ongelman ratkaisemiseksi oli asentaa korjaustiedosto, mutta ongelma oli myös mahdollista korjata poistamalla sykelaajennus käytöstä, jos korjaus ei ollut välitöntä. vaihtoehto.
Valitettavasti, vaikka hyväksikäyttö oli julkinen ja yleisesti tunnettu, monet verkkosivustot eivät vieläkään päivittyneet heti, ja haavoittuvuus löydettiin ajoittain jopa vuosia myöhemmin. Tämä johti useisiin tapauksiin, joissa hyväksikäyttöä käytettiin tilien pääsyyn tai tietojen vuotamiseen.
Oletko kyllästynyt Microsoft Edgen useiden profiilien synkronointiristiriitoihin, jotka pilaavat selaamisesi? Tutustu vaiheittaisiin ratkaisuihin synkronointivirheiden ratkaisemiseksi, profiilien yhdistämiseksi ja saumattoman synkronoinnin tekemiseksi laitteiden välillä. Toimii uusimmissa Edge-versioissa!
Oletko kyllästynyt Microsoft Edgen synkronoinnin keskeytetty -tilin virheeseen, joka keskeyttää selaamisesi? Tutustu nopeisiin ja tehokkaisiin vianmääritysohjeisiin, joilla voit palauttaa saumattoman synkronoinnin laitteiden välillä. Päivitetty uusimmilla korjauksilla vaivatonta Edge-käyttökokemusta varten.
Ratkaise turhauttava tunnistamattoman levyn virhe Xbox Series X|S:n taaksepäin yhteensopivissa peleissä. Palauta klassinen pelikirjastosi välittömästi toimivien vaiheittaisten korjausohjeidemme avulla.
Onko sinulla vaikeuksia Microsoft Edgen Windows Hello PIN-koodin nollausvirheen kanssa? Tutustu vaiheittaisiin ratkaisuihin sen nopeaan ratkaisemiseen. Saat selaimesi takaisin käyttöösi ilman turhautumista – päivitettynä uusimpiin Windows-päivityksiin.
Onko sinulla ongelmia Microsoft Edgen tyhjän valkoisen näytön kanssa käynnistyksen yhteydessä? Tutustu vaiheittaisiin ratkaisuihin Edgen tyhjän valkoisen näytön ongelmaan, nopeista nollauksista edistyneisiin korjauksiin. Palaa selaamisen pariin sujuvasti!
Vaiheittainen opas Microsoft Edgen tietojen, kuten kirjanmerkkien, salasanojen, historian ja asetusten, varmuuskopiointiin ennen järjestelmän palauttamista. Suojaa selaustoimintosi helposti ja luotettavasti.
Jumiutuuko Microsoft Edge Capture Card No Signal 60FPS -virheeseen? Tutustu todistettuihin ratkaisuihin signaalin palauttamiseksi, 60FPS:n saavuttamiseksi sujuvasti ja viiveettömän suoratoiston löytämiseksi. Vaiheittainen opas välittömiin tuloksiin!
Oletko kyllästynyt turhauttavaan Microsoft Edgen rinnakkaismääritysvirheeseen? Tutustu yksinkertaisiin, vaiheittaisiin korjauksiin, jotka ratkaisevat sen nopeasti ja palauttavat sujuvan selaamisen. Päivitetty uusimmilla ratkaisuilla!
Jumiutuuko Microsoft Edgen asennusohjelman virheeseen 124? Hanki vaiheittaiset ohjeet asennusongelmien nopeaan ratkaisemiseen. Todistettuja ratkaisuja Edgen sujuvaan asennukseen Windowsissa. Ei teknisiä taitoja tarvita!
Oletko kyllästynyt Microsoft Edgen asennusohjelman virheeseen 124, joka estää Windows 11:n asennuksen? Seuraa todistettuja ja helppoja ratkaisujamme korjataksesi ongelman nopeasti ja palauttaaksesi sujuvan selaamisen. Teknistä asiantuntemusta ei tarvita!
