0 Compartilhamentos 528 Views

Heartbleed: Falha em OpenSSL expõe milhões de sites ao perigo

Foi identificada ontem à noite uma falha considerada gravíssima no programa open-source OpenSSL, utilizado em larga escala na web para encriptar a comunicação entre servidores e usuários.

A vulnerabilidade, batizada de Heartbleed, permite visualizar senhas, logins, números de cartão de crédito e outros dados armazenados na memória de um servidor. Explorando a falha, também seria possível para um hacker forjar a identidade de um website, enganando perfeitamente os navegadores.

O problema foi descoberto pela empresa de segurança Codenomicon, que testou inicialmente contra seus próprios servidores, com sucesso. Logo em seguida, um engenheiro de outra firma de segurança afirmou ter conseguido acesso a 200 logins e senhas do Yahoo Mail em apenas cinco minutos.

Ainda que o Yahoo não tenha ainda se pronunciado oficialmente sobre a vulnerabilidade em seus servidores, a falha do OpenSSL já foi confirmada por várias fontes. A Mojang desligou os servidores de autenticação do jogo Minecraft para tentar achar uma solução e recomenda a todos os usuários que se logaram nas últimas 24 horas a trocarem sua senhas.

O especialista em criptografia Filippo Valsorda publicou uma ferramenta que permite conferir se um determinado website está suscetível à falha Heartbleed em http://filippo.io/Heartbleed/. Segundo a ferramenta, sites como Google, Microsoft, Twitter, Facebook, Dropbox e outros não foram afetados. Entretanto, o Yahoo, o OKCupid e o Imgur, para citar alguns, estão expostos.

A vulnerabilidade afeta as versões 1.0.1 e 1.0.2-beta do OpenSSL, software para servidores que vem instalado junto com o Apache, em uma larga quantidade de servidores web. Embora a OpenSSL tenha lançado hoje a versão 1.0.1g que corrige a falha, pode demorar meses para que todos os administradores de sites apliquem a atualização.

Quer saber como se proteger dessa ameaça? Veja: Como se proteger da falha Heartbleed.

Carregando...

Você pode se interessar

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)
Artigos
159 visualizações
Artigos
159 visualizações

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)

Carlos L. A. da Silva - 6 de outubro de 2021

V8 é o interpretador JavaScript, também chamado de máquina virtual Javascript, desenvolvido pela Google e utilizado em seu navegador Google Chrome. Com o peso de seus criadores e a quase onipresença do navegador, foi apenas uma questão de tempo para essa implementação do JavaScritp se tornar dominante no mercado. Entretanto, um bom desenvolvedor sabe que […]

Sir Clive Sinclair, o homem adiantado no tempo
Artigos
342 visualizações
Artigos
342 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021

O inglês Clive Marles Sinclair nasceu de uma família de engenheiros. Seu avô foi engenheiro, assim como o seu pai. Com um talento natural pela Matemática e um forte interesse em eletrônica, ele se tornaria uma página importante da popularização da computação em diversas partes do mundo, construindo um legado que se perpetuará por anos […]

A cibersegurança por trás das vacinas
Artigos
445 visualizações
Artigos
445 visualizações

A cibersegurança por trás das vacinas

Carlos L. A. da Silva - 7 de setembro de 2021

Vacinas contra o coronavírus contam com aparato sofisticado de cibersegurança que bateu de frente com tentativa de ação de hackers.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Top 25 comandos do Git
Artigos
583 visualizações
583 visualizações

Top 25 comandos do Git

Carlos L. A. da Silva - 28 de agosto de 2021
Dez anos de Kotlin: origens e futuro
Artigos
629 visualizações
629 visualizações

Dez anos de Kotlin: origens e futuro

Carlos L. A. da Silva - 20 de agosto de 2021
10 jogos que todo programador deveria conhecer
Artigos
997 visualizações
997 visualizações

10 jogos que todo programador deveria conhecer

Carlos L. A. da Silva - 1 de agosto de 2021