Fínskym výskumníkom zo spoločnosti Codenomicon a výskumníkom zo spoločnosti Google sa podarilo objaviť zraniteľnosť v šifrovacej technológii, ktorá chráni šifrovanú komunikáciu medzi používateľovým počítačom a serverom webovej stránky, ktorú navštívili.Heartbleed chyba sa týka softvéru OpenSSL, ktorý sa používa na vytvorenie zabezpečeného spojenia medzi používateľom a webovou službou, čo je pre bežného používateľa viditeľné ako známe S v adrese webstránky, ktorá sa začína na httpS://... Táto chyba bola nepovšimnutá viac ako dva roky. OpenSSL softvér používa mnoho webstránok, vrátane gigantov ako Yahoo, Google a Facebook.
Odporučenia ESETu pre prevádzkovateľov webových služieb:
- Ak používate OpenSSL vo verzii 1.0.1a až 1.0.1f (prípadne 1.0.2-beta), prejdite na verziu 1.0.1g, prípadne zrekompilujte zraniteľnú verziu s parametrom -DOPENSSL_NO_HEARTBEATS.
- Svojim používateľom oznámte, že vaša webová služba obsahovala túto zraniteľnosť s informáciou, že už bola odstránená a odporučte im, aby si zmenili prístupové heslá do vašej stránky.
Odporučenia ESETu pre používateľov:
- V prípade, že využívate službu, ktorá obsahuje túto zraniteľnosť, zmeňte si po jej odstránení prístupové heslá.
- To, či bola stránka zraniteľná alebo či je zraniteľnosť odstránená, si overte buď priamo u poskytovateľa webstránky alebo prostredníctvom viacerých jednoduchých a voľne dostupných nástrojov ako napríklad http://filippo.io/Heartbleed/
- Nemeňte svoje prístupové údaje na webe, ktorý je touto chybou stále zasiahnutý. Obzvlášť si momentálny stav overte v banke, ktorej internetové bankovníctvo využívate.
Webové služby spoločnosti ESET nepoužívali dotknuté verzie OpenSSL, zákazníci si teda prístupové heslá meniť nemusia.