แฮกเกอร์ในปัจจุบันได้กลายเป็นสมาร์ท คุณให้ช่องโหว่เล็กน้อยกับพวกเขาและพวกเขาใช้ประโยชน์จากมันเพื่อถอดรหัสรหัสของคุณ ในครั้งนี้ความโกรธของแฮ็กเกอร์ได้ลดลงเมื่อ OpenSSL ซึ่งเป็นไลบรารี่การเข้ารหัสโอเพนซอร์ซซึ่งเป็นที่นิยมใช้โดยผู้ให้บริการอินเทอร์เน็ต
วันนี้ OpenSSL ได้ออกชุดข้อมูลแก้ไขสำหรับช่องโหว่หกช่องโหว่แล้ว ช่องโหว่สองรายการนี้ถือว่ารุนแรงมากรวมถึง CVE-2016-2107 และ CVE-2016-2108
CVE-2016-2017 ช่องโหว่ที่รุนแรงทำให้แฮกเกอร์สามารถเริ่มการโจมตีแบบ Padding Oracle Attack Padding Oracle Attack สามารถถอดรหัสการรับส่งข้อมูล HTTPS สำหรับการเชื่อมต่ออินเทอร์เน็ตที่ใช้การเข้ารหัส AES-CBC พร้อมเซิร์ฟเวอร์ที่รองรับ AES-NI
Padding Oracle Attack ทำให้การป้องกันการเข้ารหัสอ่อนลงโดยอนุญาตให้แฮกเกอร์ส่งคำขอซ้ำ ๆ สำหรับเนื้อหาข้อความธรรมดาเกี่ยวกับเนื้อหาของข้อมูลที่เข้ารหัส Juraj Somorovsky ค้นพบช่องโหว่นี้โดยเฉพาะ
Juraj เขียนไว้ในบล็อกโพสต์ “ สิ่งที่เราได้เรียนรู้จากข้อบกพร่องเหล่านี้คือการแก้ไขไลบรารี crypto เป็นงานที่สำคัญและควรได้รับการตรวจสอบกับการทดสอบทั้งในเชิงบวกและเชิงลบ ตัวอย่างเช่นหลังจากเขียนใหม่ส่วนของรหัสการเติม CBC เซิร์ฟเวอร์ TLS จะต้องได้รับการทดสอบเพื่อการทำงานที่ถูกต้องกับข้อความการขยายที่ไม่ถูกต้อง ฉันหวังว่า TLS-Attacker สามารถใช้งานดังกล่าวได้ครั้งเดียว ”
ช่องโหว่ที่มีความรุนแรงสูงอันดับสองที่เคยโจมตีไลบรารี OpenSSL เรียกว่า CVE 2016-2018 เป็นข้อบกพร่องที่สำคัญที่ส่งผลกระทบและทำลายหน่วยความจำของมาตรฐาน OpenSSL ASN.1 ที่ใช้สำหรับการเข้ารหัสถอดรหัสและถ่ายโอนข้อมูล ช่องโหว่นี้ทำให้แฮกเกอร์ออนไลน์สามารถเรียกใช้และเผยแพร่เนื้อหาที่เป็นอันตรายผ่านทางเว็บเซิร์ฟเวอร์
แม้ว่าช่องโหว่ CVE 2016-2018 ได้รับการแก้ไขแล้วในเดือนมิถุนายน 2558 แต่ผลกระทบของการอัปเดตความปลอดภัยได้เริ่มปรากฏหลังจาก 11 เดือน ช่องโหว่ที่เฉพาะเจาะจงนี้สามารถถูกโจมตีโดยใช้ใบรับรอง SSL ที่กำหนดเองและของปลอมรับรองโดยหน่วยงานออกใบรับรองอย่างถูกต้อง
OpenSSL ยังได้เปิดตัวแพตช์รักษาความปลอดภัยสำหรับช่องโหว่เล็ก ๆ น้อย ๆ อีกสี่ช่องโหว่ในเวลาเดียวกัน สิ่งเหล่านี้รวมถึงช่องโหว่ล้นสองช่องทางปัญหาหน่วยความจำหนึ่งข้อผิดพลาดและจุดบกพร่องที่มีความรุนแรงน้อยหนึ่งซึ่งส่งผลให้มีการส่งคืนข้อมูลสแต็กโดยพลการในบัฟเฟอร์
อัปเดตความปลอดภัยได้รับการเผยแพร่สำหรับ OpenSSl เวอร์ชัน 1.0.1 และ OpenSSl เวอร์ชัน 1.0.2 เพื่อหลีกเลี่ยงความเสียหายเพิ่มเติมใด ๆ ต่อไลบรารีการเข้ารหัส OpenSSL ผู้ดูแลระบบจะได้รับคำแนะนำให้อัพเดตแพตช์โดยเร็วที่สุด
ข่าวนี้ถูกตีพิมพ์ครั้งแรกในข่าวแฮ็กเกอร์