mantiscccam - نمایش پست تنها - خطر دزدی پنهان اطلاعات حساس از رایانه ها با خونریزی

**ali** · 04-09-2014, 23:36

خطر دزدی پنهان اطلاعات حساس از رایانه ها با خونریزی

سرویس فناوری جوان ایرانی - بخش امنیت:
جوان ایرانی- از نسخه های به روز شده SSL استفاده کرده وهر گونه کلید به خطر افتاده را لغو و کلیدهای جدید منتشر کنید.

کارشناسان امنیت رایانه به مدیران توصیه می کنند نقص جدی موجود در برنامه نرم افزاری خود را که توسط میلیونها وب سایت استفاده می شود تعمیر کرده تا ارتباطات حساس شان را حفظ و پنهان کنند.
به گزارش جوان ایرانی به نقل از مهر، این نقص با نام مستعار "خونریزی قلبی"، در چندین نسخه از OpenSSL وجود دارد. OpenSSL برنامه ای است که امکان پنهان سازی رمز نگاری SSL یا TLS را فراهم می کند.
اغلب وب سایت ها از SSL و TLS استفاده می کنند که در موتورهای جستجو با نماد قفل نشان داده می شود.
این نقص تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می*دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.
این مشکل در پیاده سازی پروتکل TLS کشف شده و موجب می شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می*کنند، آسیب پذیر باشند.
این نقص که در دسامبر ۲۰۱۱ ایجاد شد، در OpenSSL ۱.۰.۱g منتشر شده در روز دوشنبه، اصلاح شده است.
بر اساس این گزارش همه ارتباط*ات از طریق https که بیشتر سرویس*های برخط ایمیل، و چت از آن استفاده می*کنند، smtp و imap که برای تبادل ایمیل استفاده می*شود و اتصال*های امن VPN و SSH در معرض خطر هستند. این خطر ارتباط امن بانک*های اینترنتی را نیز تهدید می*کند.
این مشکل خطرناک در حقیقت اجازه می*دهد که هر کاربری در ارتباط دو سویه*ی امن با TLS بتواند در هر اتصال، ۶۴ کیلوبایت از حافظه* رایانه سوی دیگر ارتباط را بخواند به طوری که با تکرار این کار می*توان مقدار بیشتری از حافظه را استخراج کرد.
این مقدار از حافظه* RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد.
هنوز مشخص نشده است که آیا مهاجمان طی دو سال گذشته از این نقص که دوشنبه هفته جاری رسانه ای شد، سوء استفاده کرده اند یا خیر. اما حملات با استفاده از این نقص، هیچ ردی از خود بر روی رایانه ها نمی گذارد.
کارشناسان امنیت رایانه به مدیران توصیه می کنند از نسخه های به روز شده SSL استفاده کرده وهر گونه کلید به خطر افتاده را لغو و کلیدهای جدید منتشر کنند.

04-09-2014, 23:36	#1
ali مدیر بازنشسته تاریخ عضویت: May 2013 نوشته ها: 5,911 تشکر: 0 تشکر شده 10 بار در 10 ارسال	خطر دزدی پنهان اطلاعات حساس از رایانه ها با خونریزی خطر دزدی پنهان اطلاعات حساس از رایانه ها با خونریزی سرویس فناوری جوان ایرانی - بخش امنیت: جوان ایرانی- از نسخه های به روز شده SSL استفاده کرده وهر گونه کلید به خطر افتاده را لغو و کلیدهای جدید منتشر کنید. کارشناسان امنیت رایانه به مدیران توصیه می کنند نقص جدی موجود در برنامه نرم افزاری خود را که توسط میلیونها وب سایت استفاده می شود تعمیر کرده تا ارتباطات حساس شان را حفظ و پنهان کنند. به گزارش جوان ایرانی به نقل از مهر، این نقص با نام مستعار "خونریزی قلبی"، در چندین نسخه از OpenSSL وجود دارد. OpenSSL برنامه ای است که امکان پنهان سازی رمز نگاری SSL یا TLS را فراهم می کند. اغلب وب سایت ها از SSL و TLS استفاده می کنند که در موتورهای جستجو با نماد قفل نشان داده می شود. این نقص تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه میدهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد. این مشکل در پیاده سازی پروتکل TLS کشف شده و موجب می شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده میکنند، آسیب پذیر باشند. این نقص که در دسامبر ۲۰۱۱ ایجاد شد، در OpenSSL ۱.۰.۱g منتشر شده در روز دوشنبه، اصلاح شده است. بر اساس این گزارش همه ارتباطات از طریق https که بیشتر سرویسهای برخط ایمیل، و چت از آن استفاده میکنند، smtp و imap که برای تبادل ایمیل استفاده میشود و اتصالهای امن VPN و SSH در معرض خطر هستند. این خطر ارتباط امن بانکهای اینترنتی را نیز تهدید میکند. این مشکل خطرناک در حقیقت اجازه میدهد که هر کاربری در ارتباط دو سویهی امن با TLS بتواند در هر اتصال، ۶۴ کیلوبایت از حافظه رایانه سوی دیگر ارتباط را بخواند به طوری که با تکرار این کار میتوان مقدار بیشتری از حافظه را استخراج کرد. این مقدار از حافظه RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. هنوز مشخص نشده است که آیا مهاجمان طی دو سال گذشته از این نقص که دوشنبه هفته جاری رسانه ای شد، سوء استفاده کرده اند یا خیر. اما حملات با استفاده از این نقص، هیچ ردی از خود بر روی رایانه ها نمی گذارد. کارشناسان امنیت رایانه به مدیران توصیه می کنند از نسخه های به روز شده SSL استفاده کرده وهر گونه کلید به خطر افتاده را لغو و کلیدهای جدید منتشر کنند. __________________ عزیزان توجه کنند اکانت تست اراعه میگردد.. فروش اکانت های سیسیکم با بهترین کیفیت و بدون قطعی فول پکیج سه ماهه:23هزار تومان+8روز رایگان شش ماهه:35هزار تومان+15روز رایگان یک ساله:70هزار تومان+2ماه رایگان فروش اکانت های پر قدرت و تضمین شدهmgcamd: شش ماهه:70هزار تومان