A carregar agora

Falha grave no OpenSSL deixa vários sites vulneráveis

Foi identificada ontem à noite uma falha considerada gravíssima no programa open-source OpenSSL, utilizado em larga escala na web para encriptar a comunicação entre servidores e usuários.
A vulnerabilidade, batizada de Heartbleed, permite visualizar senhas, logins, números de cartão de crédito e outros dados armazenados na memória de um servidor. Explorando a falha, também seria possível para um hacker forjar a identidade de um website, enganando perfeitamente os navegadores.
O problema foi descoberto pela empresa de segurança Codenomicon, que testou inicialmente contra seus próprios servidores, com sucesso. Logo em seguida, um engenheiro de outra firma de segurança afirmou ter conseguido acesso a 200 logins e senhas do Yahoo Mail em apenas cinco minutos.
Ainda que o Yahoo não tenha ainda se pronunciado oficialmente sobre a vulnerabilidade em seus servidores, a falha do OpenSSL já foi confirmada por várias fontes. A Mojang desligou os servidores de autenticação do jogo Minecraft para tentar achar uma solução e recomenda a todos os usuários que se logaram nas últimas 24 horas a trocarem sua senhas.

cadeado Falha grave no OpenSSL deixa vários sites vulneráveis

O especialista em criptografia Filippo Valsorda publicou uma ferramenta que permite conferir se um determinado website está suscetível à falha Heartbleed em http://filippo.io/Heartbleed/. Segundo a ferramenta, sites como Google, Microsoft, Twitter, Facebook, Dropbox e outros não foram afetados. Entretanto, o Yahoo, o OKCupid e o Imgur, para citar alguns, estão expostos.
A vulnerabilidade afeta as versões 1.0.1 e 1.0.2-beta do OpenSSL, software para servidores que vem instalado junto com o Apache, em uma larga quantidade de servidores web. Embora a OpenSSL tenha lançado hoje a versão 1.0.1g que corrige a falha, pode demorar meses para que todos os administradores de sites apliquem a atualização.
A falha também afeta o navegador anônimo TOR, que costuma ser usado para driblar espionagem governamental – e deve ser evitado até que o problema esteja corrigido.

Fonte: TecMundo

Gostou? Ajude a divulgar o CSNDicas clicando nos botões abaixo

Artigo original do Portal CSN Dicas.

Share this content:

Publicar comentário