Pada hari Isnin, 7 April, kelemahan utama yang dikenali sebagai "Heartbleed" ditemui dalam perpustakaan kriptografi OpenSSL yang popular, yang digunakan secara meluas dengan aplikasi dan pelayan web. Oleh itu, tapak dan perkhidmatan di seluruh Internet sibuk dalam menampal kelemahan ini dan mengemas kini sijil SSL untuk melindungi pelanggan mereka. Seperti yang dikatakan, OpenSSL v1.0.1 hingga 1.0.1f (termasuk) terdedah dan OpenSSL 1.0.1g dikeluarkan pada 7 April 2014 membetulkan pepijat ini.
Petikan daripada Heartbleed.com berkata,
Heartbleed Bug ialah kelemahan serius dalam perpustakaan perisian kriptografi OpenSSL yang popular. Kelemahan ini membolehkan mencuri maklumat yang dilindungi, dalam keadaan biasa, oleh penyulitan SSL/TLS yang digunakan untuk melindungi Internet. SSL/TLS menyediakan keselamatan komunikasi dan privasi melalui Internet untuk aplikasi seperti web, e-mel, pemesejan segera (IM) dan beberapa rangkaian peribadi maya (VPN).
Pepijat Heartbleed membolehkan sesiapa sahaja di Internet membaca memori sistem yang dilindungi oleh versi perisian OpenSSL yang terdedah. Ini membolehkan penyerang mencuri dengar komunikasi, mencuri data terus daripada perkhidmatan dan pengguna serta menyamar sebagai perkhidmatan dan pengguna.
Semak sama ada tapak atau Telefon Android anda terjejas oleh pepijat Heartbleed –
Terdapat beberapa perkhidmatan yang boleh memberitahu anda sama ada tapak yang anda diamanahkan dengan maklumat anda adalah atau masih terdedah, dan apabila sijilnya dikemas kini.
Ujian Heartbleed Filippo Valsorda - filippo.io/Heartbleed
Masukkan URL atau nama hos untuk Menguji pelayan anda untuk Heartbleed (CVE-2014-0160). Anda boleh menentukan port seperti ini example.com:4433. 443 secara lalai.
Penyemak LastPass Heartbleed – lastpass.com/heartbleed
Lihat sama ada tapak terdedah kepada Heartbleed. Ia menunjukkan perisian pelayan tapak, memberitahu sama ada ia terdedah dan jika sijil SSL kini selamat dan bila kali terakhir dibuat.
Chromebleed (sambungan Google Chrome)
Memaparkan amaran jika tapak yang anda semak imbas dipengaruhi oleh pepijat Heartbleed. Ia menyemak URL halaman menggunakan perkhidmatan Filippo. Berguna jika anda tidak mahu menyemak tapak secara manual.
Mashable telah mematuhi senarai menarik tapak terkenal yang menyatakan status semasa mereka, sama ada tapak tersebut terjejas dan sama ada anda perlu menukar kata laluan anda.
Pengesan Heartbleed untuk Android –
Pengguna Android boleh menyemak dengan mudah sama ada peranti Android mereka terdedah kepada pepijat HeartBleed dengan apl percuma yang dipanggil "Heartbleed Detector" daripada Lookout Mobile Security. Apl menentukan versi OpenSSL yang peranti anda gunakan. Jika peranti anda menjalankan salah satu versi OpenSSL yang terjejas, peranti itu kemudian menyemak untuk melihat sama ada gelagat terdedah tertentu didayakan atau tidak.
Walau bagaimanapun, jika peranti anda terdedah, tiada tindakan perlu yang boleh anda ambil, melainkan tampung dikeluarkan oleh Google atau pengeluar peranti anda.
Tag: AndroidSecurity