Mi az a Heartbleed sebezhetőség?

A 2010-es évek közepének egyik legismertebb sebezhetősége a „Heartbleed” volt. A Heartbleed azért volt különösen komoly, mert az általa érintett szoftver az „OpenSSL”, a HTTPS-kapcsolatok fő kriptográfiai könyvtára, amelyeket nagyon széles körben használnak. Tovább rontja a helyzetet, hogy a sérülékenység már több mint két éve jelen volt az OpenSSL-ben, mielőtt felfedezték, nyilvánosságra hozták és kijavították, ami azt jelentette, hogy sokan használtak egy sebezhető verziót.

A Heartbleed egy adatszivárgási sérülékenység volt a szívverés bővítményben, amely kihasználásakor adatok szivárogtak ki a RAM-ból a szerverről a kliensre. A szívverés kiterjesztést arra használják, hogy fenntartsák a kapcsolatot a webszerver és a kliens között normál oldalkérés nélkül.

OpenSSL esetén a kliens üzenetet küld a szervernek, és tájékoztatja a szervert az üzenet hosszúságáról, maximum 64KB. A szervernek ezután ugyanazt az üzenetet kell visszhangoznia. Lényeges azonban, hogy a szerver valójában nem ellenőrizte, hogy az üzenet olyan hosszú-e, mint amennyire az ügyfél állította. Ez azt jelentette, hogy a kliens 10 KB-os üzenetet küldhet, azt állíthatja, hogy 64 KB, és 64 KB-os választ kaphat, a további 54 KB pedig a következő 54 KB RAM-ból áll, függetlenül attól, hogy milyen adatokat tároltak ott. Ezt a folyamatot jól szemlélteti az XKCD #1354 képregény .

Mi az a Heartbleed sebezhetőség?

A kép az xkcd.com jóvoltából .

Ha sok kis szívverési kérést küld, és azt állítja, hogy nagyok, a támadó a válaszok összevonásával képet alkothat a szerver RAM-jának nagy részéről. A RAM-ban tárolt adatok, amelyek kiszivároghatnak, magukban foglalják a titkosítási kulcsokat, a HTTPS-tanúsítványokat, valamint a titkosítatlan POST-adatokat, például a felhasználóneveket és jelszavakat.

Megjegyzés: Kevésbé ismert, de a szívverés protokoll és az exploit a másik irányba is működött. Egy rosszindulatú kiszolgálót úgy lehetett beállítani, hogy szívverési kérésenként legfeljebb 64 KB felhasználói memóriát olvasson be.

A problémát több biztonsági kutató fedezte fel egymástól függetlenül 2014. április 1-jén, és privát módon közölték az OpenSSL-lel, hogy javítást készíthessenek. A hibát a javítás közzétételekor hozták nyilvánosságra, 2014. április hetedikén. A probléma megoldásának legjobb megoldása a javítás alkalmazása volt, de a szívverés-kiterjesztés letiltásával is orvosolható volt a probléma, ha az azonnali javítás nem megfelelő. választási lehetőség.

Sajnos annak ellenére, hogy a kizsákmányolás nyilvános és jól ismert, sok webhely még mindig nem frissült azonnal, és a sebezhetőséget még évekkel később is találták. Ez oda vezetett, hogy a kihasználást számos esetben fiókokhoz való hozzáférésre vagy adatok kiszivárogtatására használták.


Leave a Comment

🚨 Száműzd a Microsoft Edge kritikus hibáinak felugró ablakait 2026-ban: Bevált javítások, amelyek azonnal működnek!

🚨 Száműzd a Microsoft Edge kritikus hibáinak felugró ablakait 2026-ban: Bevált javítások, amelyek azonnal működnek!

Elege van a végtelen Microsoft Edge kritikus hibákat jelző felugró ablakokból, amelyek tönkreteszik a böngészést? Ismerje meg a lépésről lépésre szóló megoldásokat a Microsoft Edge kritikus hibák elhárítására 2026-ban. Biztonságos, gyors és hatékony – vegye vissza böngészőjét most!

🚀 A Microsoft Edge alapértelmezett beállításainak visszaállítása: Gyors megoldás a sebesség és a stabilitás érdekében!

🚀 A Microsoft Edge alapértelmezett beállításainak visszaállítása: Gyors megoldás a sebesség és a stabilitás érdekében!

Fedezze fel a lépésről lépésre szóló utasításokat arról, hogyan állíthatja vissza a Microsoft Edge alapértelmezett gyári beállításait. Javítsa ki az összeomlásokat, felugró ablakokat és lassulásokat azonnal a legújabb Edge verzióhoz bevált módszereinkkel. Gyors, biztonságos és hatékony útmutató.

Javítsa ki a Microsoft Edge videólejátszási zöld képernyőjét: 7 bevált lépés a kristálytiszta videók visszaállításához

Javítsa ki a Microsoft Edge videólejátszási zöld képernyőjét: 7 bevált lépés a kristálytiszta videók visszaállításához

Elege van a bosszantó Microsoft Edge videólejátszási zöld képernyőjéből? Kövesse lépésről lépésre szóló útmutatónkat, amely bevált megoldásokat tartalmaz, mint például a hardveres gyorsítás letiltása, az illesztőprogramok frissítése és egyebek, hogy azonnal élvezhesse a zökkenőmentes streamelést.

🔥 Azonnali javítás: Hogyan oldjam meg a Microsoft Edge Hmm, ez az oldal most nem érhető el hibát!

🔥 Azonnali javítás: Hogyan oldjam meg a Microsoft Edge Hmm, ez az oldal most nem érhető el hibát!

Frusztrált a Microsoft Edge miatt Hmm, lehet

🚀 Javítsa ki a Microsoft Edge belső mikrofonjának statikus zaját másodpercek alatt – Végső útmutató 2026-ból!

🚀 Javítsa ki a Microsoft Edge belső mikrofonjának statikus zaját másodpercek alatt – Végső útmutató 2026-ból!

Elege van abból, hogy a Microsoft Edge belső mikrofonjának statikus zaja tönkreteszi a hívásokat? Kövesse bevált, lépésről lépésre szóló javításainkat a kristálytiszta hang azonnali visszaállításához. Működik a legújabb Edge verziókon!

🚨 Javítsa ki a Microsoft Edge MSI 1722-es hibáját Windows 11 rendszeren: Bizonyított lépések a gyors megoldáshoz!

🚨 Javítsa ki a Microsoft Edge MSI 1722-es hibáját Windows 11 rendszeren: Bizonyított lépések a gyors megoldáshoz!

Problémája van a Microsoft Edge MSI 1722-es hibájával Windows 11 rendszeren? Fedezze fel a Microsoft Edge MSI 1722-es hibájának lépésről lépésre történő hibaelhárítását Windows 11 rendszeren, amelyek működnek. Állítsa vissza böngészőjét gyorsan és biztonságosan!

🔧 Javítsa ki a Game Bar Party Chat hangjának nem működését: Lépésről lépésre működő megoldások

🔧 Javítsa ki a Game Bar Party Chat hangjának nem működését: Lépésről lépésre működő megoldások

Elege van abból, hogy a Game Bar Party Chat hangja nem működik? Ismerje meg a bevált hibaelhárítási lépéseket a hang visszaállításához az Xbox Party Chatben Windows rendszeren. Gyorsjavítások, speciális tippek és egyebek a zökkenőmentes játékhoz.

Globális böngészés feloldása: Hogyan módosítsa könnyedén a Microsoft Edge nyelvi és régióbeállításait

Globális böngészés feloldása: Hogyan módosítsa könnyedén a Microsoft Edge nyelvi és régióbeállításait

Sajátítsd el a Microsoft Edge nyelvi és régióbeállításainak módosítását egyszerű, lépésről lépésre szóló útmutatókkal Windows, Mac, Android és iOS rendszerre. Szabd testre böngésződet egy személyre szabott globális élményért még ma!

🔧 Javítsd ki a Microsoft Edge oldal nem reagáló hibáját 2026-ban: 10 bevált lépés az azonnali enyhüléshez!

🔧 Javítsd ki a Microsoft Edge oldal nem reagáló hibáját 2026-ban: 10 bevált lépés az azonnali enyhüléshez!

Elege van abból, hogy a Microsoft Edge lap nem reagál, és lefagy a böngészése? Kövesse 2026-ban frissített útmutatónkat, amely gyors megoldásokat tartalmaz, mint például a lapok újratöltése, a gyorsítótár törlése és a bővítmények letiltása a zökkenőmentes teljesítmény gyors visszaállításához. Nincs szükség technikai ismeretekre!

Védd a kis felfedezőket: Végső útmutató a Microsoft Edge gyermek üzemmódjának használatához a biztonságosabb böngészéshez

Védd a kis felfedezőket: Végső útmutató a Microsoft Edge gyermek üzemmódjának használatához a biztonságosabb böngészéshez

Biztonságosabb online kalandokat tehetsz lehetővé gyermekeid számára a Microsoft Edge Gyerek móddal. Lépésről lépésre útmutató a beállításhoz, testreszabási tippekhez és biztonsági funkciókhoz a gondtalan böngészéshez. Kezdd el a védelmet még ma!