ثغرة أمنية في (OpenSSL)
ظهرت في (أوبن إس إس إل) OpenSSL، – وهي عبارة عن تقنية برمجية مفتوحة المصدر تُستخدم في تشفير اتصالات الويب -، ثغرةٌ أمنية توصف بالخطيرة لدرجة أنها تمكّن المخترقين الإلكترونيين من الوصول إلى أبعد من مجرد بيانات المستخدم الخاصة. وتُعد (أوبن إس إس إل) أحد تطبيقات بروتوكولات التشفير (إس إس إل)SSL) أو (تي إل إس) TLS)، وهي المسؤولة عن تفحص الاتصالات بين متصفح الويب والخادم.
وتتيح الثغرة الأمنية الجديدة التي تُدعى رسميًا (سي في إي – 2014 – 0160 CVE-2014-0160 للمخترقين الوصول إلى المفاتيح الرقمية الخاصة بالخوادم والمستخدمة في تشفير الاتصالات السابقة والقادمة.
وكانت شركة كودنوميكون Codenomicon إلى جانب نيل ميهتا، الباحث والمهندس الأمني لدى شركة (غوغل)، هما من اكتشف الثغرة وأطلقا عليها اسم (نزيف القلب) Heartbleed. وتسمح ثغرة (هارت بليد) للمخترقين بقراءة 64 كيلو بايت من الذاكرة على الخوادم، ثم تعبئتها بالبيانات الأكثر حساسية.
وذكرت (كودنوميكون) أن هذه الثغرة قادرة على الحصول على المفاتيح السرية المستخدمة في تحديد مزودي الخدمة وفي تشفير حركة البيانات، فضلاً عن الأسماء وكلمات المرور الخاصة بالمستخدمين، والمحتوى الفعلي.
وأضافت الشركة المختصة في الحلول الأمنية أن الثغرة المكتشفة تسمح للمخترقين بالتنصت على الاتصالات وسرقة البيانات مباشرة من الخدمات والمستخدمين، كما تمكّنهم من انتحال شخصية الخدمات والمستخدمين.
وتوصف ثغرة (هارت بليد) بأنها خطيرة للغاية، فهي لا تتطلب إجراء تغيير جذري لمواقع الإنترنت، بل تتطلب من أي شخص يستخدمها تغيير كلمات المرور.
وتؤثر الثغرة الأمنية على الإصدارين 1,0,1 و 2,0,1 التجريبي من (أوبن إس إس إل) الذي يمثل برنامج خوادم مع العديد من إصدارات (لينوكس) ويستخدم في العديد من خوادم الويب الشائعة.
ولإصلاح الثغرة، قامت الشركة المطورة لـ (أوبن إس إس إل) بإصدار التحديث (1,0,1 جي)، الذي يجب على مشغلي مواقع الويب تثبيته إلى جانب إلغاء الشهادات الأمنية التي قد تكون تعرضت للاختراق.