Vào thứ Hai, ngày 7 tháng 4, một lỗ hổng lớn được gọi là “Heartbleed” đã được tìm thấy trong thư viện mật mã OpenSSL phổ biến, được sử dụng rộng rãi với các ứng dụng và máy chủ web. Do đó, các trang web và dịch vụ trên Internet đang bận rộn trong việc vá lỗ hổng này và cập nhật chứng chỉ SSL để bảo vệ khách hàng của họ. Như đã nói, OpenSSL v1.0.1 đến 1.0.1f (bao gồm) dễ bị tấn công và OpenSSL 1.0.1g được phát hành vào ngày 7 tháng 4 năm 2014 đã sửa lỗi này.
Một đoạn trích từ Heartbleed.com nói,
Lỗi Heartbleed là một lỗ hổng nghiêm trọng trong thư viện phần mềm mật mã OpenSSL phổ biến. Điểm yếu này cho phép đánh cắp thông tin được bảo vệ, trong điều kiện bình thường, bằng mã hóa SSL / TLS được sử dụng để bảo mật Internet. SSL / TLS cung cấp bảo mật thông tin liên lạc và quyền riêng tư qua Internet cho các ứng dụng như web, email, nhắn tin tức thì (IM) và một số mạng riêng ảo (VPN).
Lỗi Heartbleed cho phép bất kỳ ai trên Internet đọc được bộ nhớ của hệ thống được bảo vệ bởi các phiên bản dễ bị tấn công của phần mềm OpenSSL. Điều này cho phép những kẻ tấn công nghe trộm thông tin liên lạc, đánh cắp dữ liệu trực tiếp từ các dịch vụ và người dùng cũng như mạo danh các dịch vụ và người dùng.
Kiểm tra xem trang web hoặc Điện thoại Android của bạn có bị ảnh hưởng bởi lỗi Heartbleed hay không –
Có một số dịch vụ có thể cho bạn biết liệu trang web mà bạn đã ủy thác thông tin của mình có hay vẫn còn dễ bị tấn công và khi nào chứng chỉ của nó được cập nhật.
Bài kiểm tra Heartbleed của Filippo Valsorda - filippo.io/Heartbleed
Nhập URL hoặc tên máy chủ để Kiểm tra máy chủ của bạn xem có Heartbleed hay không (CVE-2014-0160). Bạn có thể chỉ định một cổng như thế này example.com:4433
. 443 theo mặc định.
Trình kiểm tra LastPass Heartbleed - lastpass.com/heartbleed
Xem liệu một trang web có dễ bị Heartbleed hay không. Nó hiển thị phần mềm máy chủ của trang web, cho biết liệu nó có dễ bị tấn công hay không và liệu chứng chỉ SSL hiện có an toàn hay không và thời điểm được tạo lần cuối.
Chromebleed (tiện ích mở rộng của Google Chrome)
Hiển thị cảnh báo nếu trang web bạn đang duyệt bị ảnh hưởng bởi lỗi Heartbleed. Nó kiểm tra URL của trang bằng dịch vụ của Filippo. Hữu ích nếu bạn không muốn kiểm tra các trang web theo cách thủ công.
Mashable đã tuân theo một danh sách thú vị gồm các trang web nổi tiếng nêu rõ trạng thái hiện tại của chúng, như liệu chúng có bị ảnh hưởng hay không và liệu bạn có nên thay đổi mật khẩu của mình hay không.
Heartbleed Detector dành cho Android -
Người dùng Android có thể dễ dàng kiểm tra xem thiết bị Android của họ có dễ bị lỗi HeartBleed hay không bằng một ứng dụng miễn phí có tên “Heartbleed Detector” từ Lookout Mobile Security. Ứng dụng xác định phiên bản OpenSSL mà thiết bị của bạn đang sử dụng. Nếu thiết bị của bạn đang chạy một trong các phiên bản bị ảnh hưởng của OpenSSL, thì thiết bị sẽ kiểm tra xem hành vi dễ bị tấn công cụ thể có được kích hoạt hay không.
Tuy nhiên, nếu thiết bị của bạn dễ bị tấn công, bạn không thể thực hiện hành động cần thiết nào, trừ khi Google hoặc nhà sản xuất thiết bị của bạn phát hành bản vá.
Tags: AndroidSecurity