Финские программисты рассказали о серьезной уязвимости, которая позволит злоумышленникам считывать зашифрованную информацию.
Эксперты обнаружили дефект в библиотеке OpenSSL - системе защиты и сертификации данных, применяемой многими сетевыми серверами для защиты передаваемого контента. Уязвимостью начиная с марта 2012 г. мог пользоваться любой, кому было известно о ней.
По оценке издания ArsTechnica, брешь в OpenSSL затронула, в общей сложности, более двух третей сайтов в мире.
Как пишет The New York Times, группа программистов не смогла обнаружить случаи использования данной ошибки, однако рекомендовала пользователям немедленно загрузить новейшую версию протокола OpenSSL 1.0.1g. Кроме того, специалисты запустили специальный сайт, с помощью которого можно протестировать любой интернет-ресурс на возможность кражи информации с использованием данной уязвимости.
Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. В числе сайтов, использующих уязвимую библиотеку OpenSSL - Yahoo.com, фотосервис Flickr.com, онлайн-аукцион Avito.ru, игровой форум Steamcommunity.com.
В то же время такие интернет-гиганты, как Facebook, Google, YouTube, Wikipedia, Twitter, а также российская социальная сеть "ВКонтакте", сервисы "Яндекс" и Mail.ru, находятся вне опасности. Полный список протестированных на возможность утечки информации сайтов можно найти в интернет.
Случаи обнаружения критической уязвимости касаются и мобильных операционных систем. В конце февраля 2014 г. в системе iOS был обнаружен дефект, позволяющий использовать приложения, работающие в фоновом режиме, для перехвата информации обо всех нажатиях на экран, и управляющие кнопки мобильных устройств Apple.