Однією з найвідоміших уразливостей середини 2010-х років була «Heartbleed». Heartbleed був особливо серйозним, оскільки його програмне забезпечення вплинуло на «OpenSSL», головну криптографічну бібліотеку для з'єднань HTTPS, які дуже широко використовуються. Що ще гірше, уразливість була присутня в OpenSSL більше двох років, перш ніж її виявили, оприлюднили та виправили, що означало, що багато людей використовували вразливу версію.
Heartbleed була вразливістю до витоку даних у розширенні heartbeat, яке при експлуатації витікало дані з RAM із сервера на клієнта. Розширення heartbeat використовується для підтримки з'єднання між веб-сервером і клієнтом без виконання звичайного запиту сторінки.
У разі OpenSSL клієнт надсилає повідомлення на сервер і повідомляє серверу про тривалість повідомлення, до 64 КБ. Після цього сервер повинен відтворити те саме повідомлення. Але найважливіше те, що сервер насправді не перевіряв, чи було повідомлення таким довгим, як стверджував клієнт. Це означало, що клієнт міг надіслати повідомлення розміром 10 КБ, стверджувати, що це 64 КБ, і отримати відповідь 64 КБ, а додаткові 54 КБ складатимуться з наступних 54 КБ оперативної пам’яті, незалежно від того, які дані там зберігалися. Цей процес добре візуалізується коміксом XKCD #1354 .
Зображення надано xkcd.com .
Роблячи багато невеликих запитів на серцевий ритм і стверджуючи, що вони великі, зловмисник може створити картину більшої частини оперативної пам’яті сервера, об’єднавши відповіді. Дані, які зберігаються в RAM, які можуть бути витоком, включають ключі шифрування, сертифікати HTTPS, а також незашифровані дані POST, такі як імена користувачів та паролі.
Примітка: він менш відомий, але протокол серцевого ритму та експлойт також працювали в іншому напрямку. Шкідливий сервер міг бути налаштований на читання до 64 КБ пам’яті користувача за запит на серцевий ритм.
Проблема була виявлена кількома дослідниками безпеки незалежно один від одного першого квітня 2014 року та була розкрита приватно OpenSSL, щоб можна було створити виправлення. Помилка була оприлюднена, коли виправлення було випущено 7 квітня 2014 року. Найкращим рішенням для вирішення проблеми було застосування виправлення, але також можна було виправити проблему, відключивши розширення серцевого ритму, якщо негайне виправлення не було варіант.
На жаль, незважаючи на те, що експлойт був загальнодоступним і загальновідомим, багато веб-сайтів все ще не оновлювалися відразу, а вразливість все ще час від часу виявлялася навіть через роки. Це призвело до низки випадків використання експлойту для отримання доступу до облікових записів або витоку даних.
Набридло, що конфлікт синхронізації кількох профілів у Microsoft Edge псує вам роботу в Інтернеті? Дізнайтеся про покрокові рішення для вирішення помилок синхронізації, об’єднання профілів та безперебійної синхронізації на різних пристроях. Працює на останніх версіях Edge!
Втомилися від помилки призупинення облікового запису синхронізації Microsoft Edge, яка перериває роботу веб-переглядачів? Відкрийте для себе швидкі та ефективні кроки з усунення несправностей, щоб відновити безперебійну синхронізацію на всіх пристроях. Оновлено з останніми виправленнями для безпроблемної роботи з Edge.
Виправте надокучливу помилку «Нерозпізнаний диск» для ігор, сумісних зі зворотною сумісністю, на Xbox Series X|S. Скористайтеся нашими перевіреними покроковими інструкціями, щоб миттєво відновити свою бібліотеку класичних ігор.
Маєте проблеми з помилкою скидання PIN-коду Microsoft Edge Windows Hello? Дізнайтеся про покрокові способи її швидкого вирішення. Відновіть доступ до браузера без зайвих труднощів – оновлено до останніх оновлень Windows.
Маєте проблеми з порожнім білим екраном на початку роботи в Microsoft Edge? Дізнайтеся про покрокові рішення проблеми з порожнім білим екраном в Edge, від швидкого скидання налаштувань до складного ремонту. Поверніться до плавного перегляду веб-сторінок!
Покроковий посібник зі створення резервної копії даних Microsoft Edge, таких як закладки, паролі, історія та налаштування, перед скиданням системи. Захистіть свої важливі дані для перегляду за допомогою простих та надійних методів.
Застрягли з помилкою «Карта захоплення відео Microsoft Edge: немає сигналу, 60 кадрів/с»? Відкрийте для себе перевірені способи вирішення проблеми, щоб відновити сигнал, плавно досягати 60 кадрів/с і транслювати без затримок. Покроковий посібник для миттєвих результатів!
Втомилися від надокучливої помилки конфігурації Microsoft Edge Side-by-Side? Відкрийте для себе прості покрокові виправлення, щоб швидко вирішити її та відновити безперебійний перегляд. Оновлено найновішими рішеннями!
Застрягли з помилкою 124 інсталятора Microsoft Edge? Отримайте покрокові виправлення для швидкого вирішення проблем з інсталяцією. Перевірені рішення для безперебійного налаштування Edge у Windows. Технічні навички не потрібні!
Набридла помилка 124 інсталятора Microsoft Edge, яка блокує налаштування Windows 11? Скористайтеся нашими перевіреними та простими рішеннями, щоб швидко вирішити цю проблему та відновити безперебійний перегляд веб-сторінок. Технічні знання не потрібні!
