Heartbleed kan ramme klienter

Artiklen blev oprindeligt publiceret den 11/4/2014

Software i de klienter, der taler med web-servere, kan være sårbare over for Heartbleed-angreb. Det kan udnyttes via servere, de kommunikerer med.

Hovedparten af opmærksomheden om Heartbleed-sårbarheden i OpenSSL er rettet mod web-servere. Men OpenSSL indgår også i softwaren på de klienter, der taler med webservere – og de kan også være sårbare.

Et angreb på en server foregår ved, at angriberen sender en forespørgsel til den. Som svar får man 64 KB data fra serverens arbejdslager.

På samme måde kan en server sende en forespørgsel til en klient, der forbinder til den, og få tilsvarende data udleveret.

Sikkerhedsfirmaet Meldium skriver, at to typer klientsoftware kan være sårbar: Traditionelle klienter såsom browsere og mobile apps, og åbne klienter. Sidstnævnte er klienter, der kører på servere og tager imod URL'er, som de behandler og henter på vegne af brugeren. Et eksempel er sociale netværk, der henter en URL, så snart den indtastes i en statusopdatering.

Meldium har fundet flere eksempler på åbne klienter, der er sårbare. Firmaet anbefaler, at virksomheder ikke kun opdaterer OpenSSL i deres generelle web-serversoftware, men også tjekker for OpenSSL andre steder i infrastrukturen.

Firmaet har udviklet en online test, der kan opdage såkaldte reverse Heartbleed-sårbarheder.

Anbefaling
Opdater OpenSSL til version 1.0.1g overalt. Skift passwords og overvej at danne nye private nøgler.

Links