En av de mest kjente sårbarhetene på midten av 2010-tallet ble kalt "Heartbleed". Heartbleed var spesielt alvorlig fordi det var programvaren den påvirket "OpenSSL", det viktigste kryptografiske biblioteket for HTTPS-tilkoblinger, som er veldig mye brukt. For å gjøre vondt verre hadde sårbarheten vært til stede i OpenSSL i mer enn to år før den ble oppdaget, publisert og lappet, noe som betydde at mange mennesker brukte en sårbar versjon.
Heartbleed var en sårbarhet for datalekkasje i heartbeat-utvidelsen som når den ble utnyttet lekket data fra RAM fra serveren til klienten. Heartbeat-utvidelsen brukes til å opprettholde en forbindelse mellom webserveren og klienten uten å gjøre en normal sideforespørsel.
Når det gjelder OpenSSL, sender klienten en melding til serveren og informerer serveren om hvor lang meldingen er, opptil 64KB. Serveren er da ment å ekko den samme meldingen tilbake. Avgjørende er det imidlertid at serveren faktisk ikke sjekket at meldingen var så lang som klienten hevdet den var. Dette betydde at en klient kunne sende en 10KB melding, hevde at den var 64KB og få et 64KB svar, med de ekstra 54KB som bestod av de neste 54KB RAM, uansett hvilke data som ble lagret der. Denne prosessen er godt visualisert av XKCD-tegneserien #1354 .
Bilde med tillatelse fra xkcd.com .
Ved å komme med mange små hjerteslagsforespørsler og hevde at de var store, kunne en angriper bygge et bilde av det meste av serverens RAM ved å sette sammen svarene. Data som er lagret i RAM som kan lekke inkluderer krypteringsnøkler, HTTPS-sertifikater, samt ukrypterte POST-data som brukernavn og passord.
Merk: Det er mindre kjent, men hjerteslagprotokollen og utnyttelsen fungerte også i den andre retningen. En ondsinnet server kan ha blitt konfigurert til å lese opptil 64 KB brukerminne per hjerteslagforespørsel.
Problemet ble oppdaget av flere sikkerhetsforskere uavhengig den første april 2014 og ble avslørt privat til OpenSSL slik at en patch kunne opprettes. Feilen ble publisert da oppdateringen ble utgitt den syvende april 2014. Den beste løsningen for å løse problemet var å bruke oppdateringen, men det var også mulig å rette opp problemet ved å deaktivere hjerteslagutvidelsen hvis oppdateringen umiddelbart ikke var en alternativ.
Dessverre, til tross for at utnyttelsen er offentlig og generelt godt kjent, oppdaterte mange nettsteder seg fortsatt ikke umiddelbart, og sårbarheten ble fortsatt av og til funnet selv år senere. Dette førte til at en rekke tilfeller av utnyttelsen ble brukt for å få tilgang til kontoer eller lekke data.
Lei av at synkroniseringskonflikt med flere profiler i Microsoft Edge ødelegger nettlesingen din? Oppdag trinnvise løsninger for å løse synkroniseringsfeil, slå sammen profiler og synkronisere sømløst på tvers av enheter. Fungerer på de nyeste Edge-versjonene!
Lei av at Microsoft Edge Sync Pause-kontofeilen forstyrrer nettlesingen din? Oppdag raske og effektive feilsøkingstrinn for å gjenopprette sømløs synkronisering på tvers av enheter. Oppdatert med de nyeste rettelsene for en problemfri Edge-opplevelse.
Få bukt med den frustrerende feilen «Ukjent plate» for bakoverkompatible spill på Xbox Series X|S. Følg våre velprøvde trinnvise løsninger for å gjenopprette det klassiske spillbiblioteket ditt umiddelbart.
Sliter du med tilbakestillingsfeilen for PIN i Microsoft Edge i Windows Hello? Oppdag trinnvise løsninger for å løse det raskt. Få tilgang til nettleseren din igjen uten frustrasjon – oppdatert for de nyeste Windows-oppdateringene.
Sliter du med blank, hvit skjerm i Microsoft Edge ved oppstart? Oppdag trinnvise løsninger for problemet med blank, hvit skjerm i Edge, fra raske tilbakestillinger til avanserte reparasjoner. Kom tilbake til nettlesing uten problemer!
Steg-for-steg-veiledning for hvordan du sikkerhetskopierer Microsoft Edge-data som bokmerker, passord, historikk og innstillinger før en systemtilbakestilling. Beskytt nettleserens viktige elementer med enkle og pålitelige metoder.
Sitter du fast med feilen «Microsoft Edge Capture Card No Signal 60FPS»? Oppdag velprøvde løsninger for å gjenopprette signalet, oppnå 60 FPS jevnt og strømme uten forsinkelser. Steg-for-steg-veiledning for umiddelbare resultater!
Lei av den frustrerende konfigurasjonsfeilen i Microsoft Edge Side-by-Side? Oppdag enkle, trinnvise løsninger for å løse den raskt og gjenopprette problemfri nettlesing. Oppdatert med de nyeste løsningene!
Sitter du fast med Microsoft Edge Installer-feil 124? Få trinnvise løsninger for å løse installasjonsfeil raskt. Velprøvde løsninger for problemfri Edge-oppsett på Windows. Ingen tekniske ferdigheter kreves!
Lei av at Microsoft Edge Installer-feil 124 blokkerer Windows 11-oppsettet ditt? Følg våre velprøvde, enkle løsninger for å løse det raskt og gjenopprette problemfri nettlesing. Ingen teknisk ekspertise nødvendig!
