openssl-bag

انتشار اطلاعاتی در مورد وجود یک باگ موسوم به خونریزی قلبی، هیاهوی بسیاری را در فضای وب ایجاد کرده است؛ بطوریکه اطلاعات بسیاری از کاربران به واسطه‌ی استفاده از سرویس‌های اینترنتی متأثر از این باگ، در معرض خطر قرار دارد. اما کاربران سیستم‌عامل‌های اپل از جمله ابزار‌های مبتنی بر iOS و OS X می‌توانند نفس راحتی بکشند؛ چراکه از خطر این باگ مصون هستند؛ به شرطی که از BBM یا بلک‌بری مسنجر استفاده نکنند.

محصولات اپل مشکلی را از جانب باگ موجود به خود نمی‌بینند و نیازی به پچ‌های ارائه شده به منظور ترمیم ایراد مورد‌نظر در سرورها، روترها و سایر محصولاتی که از OpenSSL برای پیاده‌سازی استاندارد SSL/TLS استفاده می‌کنند، نیازی ندارند.

اپل در این مورد به Re/code چنین گفته است:

اپل حساسیت زیادی به موارد امنیتی دارد. iOS و OS X هیچ‌گاه از یک اپلیکیشن آسیب‌پذیر و سرویس‌های وبی که در معرض خطر باشند استفاده نمی‌کند.

اپل از کتابخانه‌های متفاوتی برای پیاده‌سازی استاندارد SSL/TLS بهره می‌گیرد که SecureTransport نام دارد. این استاندارد در بهمن ماه با یک مشکل امنیتی روبرو شده بود که اپل آن را سریعاً رفع کرد؛ هرچند این مشکل به اندازه‌ی خونریزی قلبی خطرناک نبود.

در مورد مشکل پیش آمده برای SecureTransport، این استاندارد امضای ارسال شده در TLS Server Key Exchange را بررسی نکرده و از این‌رو کاربران OS X و iOS در معرض حملات اسپوفینگ قرار گرفته و اطلاعات خصوصی آن‌ها به سرقت می‌رفت. این باگ منجر به از دست‌رفتن اطلاعات شماری از کاربران ابزار‌هایی مبتنی بر iOS 6، iOS 7 و همچنین OS X کمپانی اپل شد.

معادلات در مورد باگ خونریزی قلبی به گونه‌ای دیگر است. این باگ هر چیزی را که در از طریق استاندارد SSL محافظت می‌شود را در معرض خطر قرار می‌دهد که شامل رمزهای عبور، کلیدهای اختصاصی و سایر اطلاعات حساس از قبیل جزئیات کارت‌های اعتباری است.

بلک‌بری اذعان کرده است که بخشی از محصولات این کمپانی از قبیل اپلیکیشن مسنجر بلک‌بری که برای اندروید و iOS عرضه شده، تحت تأثیر باگ خونریزی قلبی قرار گرفته است. BBM در حدود 80 میلیون کاربر دارد.

از دیگر محصولات بلک‌بری که باگ خونریزی قلبی آن‌ها را در معرض خطر قرار داده است شامل محصول جدید این کمپانی برای سامسونگ‌ناکس، فضای امن کاری iOS ، اندروید و بلک‌بری لینک برای ویندوز و مک است.

بلک‌بری هنوز با استفاده از پچ‌های امنیتی سرویس‌های خود را ترمیم نکرده است؛ اما نکته‌ی منفی در مورد این کمپانی عدم در پیش‌گرفتن اقدامات مناسبی در راستای پیش‌گیری از خطرات احتمالی ناشی از این باگ است.

براساس اطلاعات ارائه‌شده توسط بلک‌بری، برخی از محصولات کلیدی این کمپانی که شامل تلفن‌های‌هوشمند، بلک‌بری اینترپرایز سرور 5 و بلک‌بری اینترپرایز 10 است، تحت تأثیر این باگ خطرناک قرار نگرفته‌اند.

گوگل دیروز اعلام کرد که اندروید 4.1 آبنبات‌پاستیلی نیز از این مشکل امنیتی متاثر شده و از این‌رو گوگل در حال توسعه‌ی پچ‌ی برای رفع مشکل پیش آمده برای اندروید است.

هنوز مشخص نیست که چه تعداد ابزار اندرویدی مجهز به نسخه‌ی 4.1 آبنبات‌پاستیلی است؛ اما براساس آخرین آمارهای موجود در حدود 35 درصد از ابزار‌های اندرویدی از نسخه‌ی 4.1 سیستم‌عامل اندروید استفاده می‌کنند.

به بیان بهتر، آسیب‌پذیری بخش کوچکی از این ابزار‌ها نیز تعداد بالایی از ابزار‌های اندرویدی را شامل می‌شود و در صورتی که نیاز به بروزرسانی ابزار‌های اندرویدی با استفاده از یک پچ باشد، گوگل با مشکلات عدیده ای روبرو است؛ چراکه شرکای سخت‌افزاری غول جستجو در مورادی همچون ارائه‌ی بروزرسانی برای تلفن‌های‌هوشمند خود آن‌چنان سریع عمل نمی‌کنند.

مایکروسافت دیروز تأیید کرد که سرور‌های اَژور این کپانی به دلیل استفاده از کامپوننت رمزگذاری اختصاصی ردموندی‌ها با نام Secure Channel از خطرات موجود این باگ در امان مانده است.

آمازون دیگر کمپانی بزرگی است که دیروز تأیید کرد سرور‌های آن تحت‌تأثیر این باگ امنیتی قرار گرفته است. براساس اطلاعات ارائه شده توسط آمازون افرادی که از سرویس‌های ELB، EC2، OpsWorks، Elastic Beanstalk و CloudFront استفاده می‌کنند، تحت تاثیر این باگ امنیتی قرار گفته‌اند.

فایرفاکس نیز روز چهارشنبه اعلام کرد که پروژه‌ی احراز هویت این کمپانی، پرسونا و حساب‌های کاربری فایرفاکس تحت‌تأثیر باگ موسوم به خونریزی قلبی قرار گرفته است.

ابزار‌هایی هستند که می‌توان با استفاده از آن‌ها به بررسی سایت‌هایی پرداخت که نشان می‌دهد آیا وب‌سایتی تحت‌تأثیر این باگ امنیتی قرار گرفته است یا نه. از جمله‌‌ی این سرویس‌ها می‌توان به Heartbleed Test، LastPass Heartbleed Checker یا Qualys SSL Labs Test اشاره کرد.

منبع: زومیت

اگر این مطلب برای شما مفید واقع شده، می توانید با عضوییت در وبسایت و خبرنامه ما، از مطالبی که در آینده هم منتشر خواهند شد مطلع شوید.

جهت عضوییت در وبسایت مقاله آی تی به آدرس زیر مراجعه نمایید:

http://it-research.ir/register

محل تبلیغات شما