Вчера стало известно, что одна из популярнейших криптографических библиотек OpenSSL содержит критическую уязвимость. Ошибка, получившая название HeartBleed, позволяет хакерам получить доступ к любым коммуникациям, защищенным уязвимой версией OpenSSL (1.0.1, 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1). Это 2/3 веб-сайтов Интернета! Уязвимость существует с 2012 года! Благодаря ошибке злоумышленники могут читать оперативную память серверов и пользовательских машин кусками до 64-килобайт. При этом отследить факт утечки невозможно.
На практике это означает, что все логины и пароли, вводимые на подверженных HeartBleed сайтах, с большой долей вероятности могли быть украдены. На вчерашний день уязвимости были подвержены целый ряд банков, платежных систем, почтовых сервисов. Согласно неофициальному отчету Github, Apple.com и iCloud не входили в число потенциально опасных сайтов, но официальных комментариев от Apple пока не поступало. В данный момент многие (особенно крупные) сайты пропатчили OpenSSL до безопасной версии 1.0.1g. Однако, следует помнить, что с 2012 года прошло много времени и никто не даст гарантию, что ваши данные уже не оказались в чьих-то руках.
Что делать пользователям? Во-первых, сменить все важные пароли! Но! Прежде чем менять пароль, убедитесь, что сайт не содержит HeartBleed. Для HTTPS есть три сервиса: filippo.io/Heartbleed/, possible.lv/tools/hb/ и www.ssllabs.com/ssltest/. Пользователям Linux необходимо срочно обновиться до последней доступной версии OpenSSL (в репозиториях уже есть пропатченная). В OS X по умолчанию используется более ранняя версия OpenSSL 0.9.8 и если вы не обновляли ее вручную, то ничего делать не нужно. Windows не использует OpenSSL и если вы не устанавливали его самостоятельно, то поводов для беспокойства нет.
HeartBleed уже называют самой опасной веб-уязвимостью “всех времен и народов”. Сотрудники компании Codenomicon, обнаружившие баг, подготовили подробное описание и открыли для него отдельный сайт Heartbleed.com. Авторство “логотипа” также принадлежит им. Кроме того, подробнее о HeartBleed можно прочесть на Хабрахабр здесь и здесь.