Ernstig lek in OpenSSL treft webservers, Apple-diensten niet kwetsbaar

11 reacties

Vanochtend werd bekend dat er een kritiek lek in OpenSSL is aangetroffen. Deze software wordt door meer dan de helft van de (web)servers op internet gebruikt om onder andere beveiligde https-verbindingen op te zetten. De software was lange tijd kwetsbaar.

Hackers kunnen de bug actief misbruiken om privacygevoelige gegevens te onderscheppen. Door een lek in de software kan normaal versleutelde data uit het geheugen van servers gestolen worden zonder enig spoor achter te laten. OMT heeft getest of Apple’s services als iCloud en OS X Server kwetsbaar zijn voor het lek, dit blijkt niet het geval.

Wil dit zeggen dat OS X en iOS-gebruikers standaard veilig zijn? Nee. Het lek bevindt zich aan de kant van servers en niet aan de kant van de computer van de gebruiker. In theorie zou iedere server (website, dienst) waar verbinding mee gemaakt wordt kwetsbaar zijn. Of een website kwetsbaar is voor het lek dat Heartbleed heet, is te testen via een speciale checker die door een ontwikkelaar is opgezet. Wij raden aan geen gegevens als wachtwoorden en creditcardnummers in te voeren op websites die kwetsbaar zijn.

Apple Premium Resellers waren kwetsbaar
Enkele Apple Premium Resellers met een webshop waren kwetsbaar voor de bug, maar hebben hun servers inmiddels gepatcht. iCentre en Xando werden in het geheel niet getroffen door de bug. Na berichtgeving van OMT hebben ook A-Mac en tweedehands Mac-winkel Leapp hun servers gepatcht.

Ook veel collega-techsites waren kwetsbaar.

Wie een eigen OS X-server draait hoeft zich geen zorgen te maken. Apple gebruikt een versie van OpenSSL (0.9.8) die het lek niet bevat. De bug die het lek veroorzaakt werd in versie 1.0.1 geïntroduceerd. Systeembeheerders die Linux-servers beheren wordt aangeraden te checken welke versie van OpenSSL gebruikt wordt en indien nodig te updaten naar een veilige versie van de encryptiesoftware.

Uitgebreide technische informatie is te vinden op Heartbleed.com

Reacties

11 reacties
  • Profielfoto
    dj bazzie wazzie

    Jammer dat FreeBSD ook geraakt wordt. Dat systeem staat al 15 jaar bekend als het meest veilige systeem. Maar ja, als alle systemen allemaal dezelfde source gebruiken is het niet meer dan logisch.

  • Profielfoto
    Raymon

    @ IOS Dude: Er staat toch “Wij raden aan geen gegevens als..”;-)

  • Profielfoto
    IOS dude

    Oeps, srry;)
    Ik zal men reactie weghalen…

  • Profielfoto
    vman

    Veilig..? Het is allemaal schijnveiligheid…!

  • Profielfoto
    knekkie

    Is Apple de laatste tijd juist slordiger geworden of is het interessanter voor hackers (goed willende en kwaad willende) dat dit soort dingen gevonden worden?

    Vroeger hoorde je nooit de woorden Apple en onveilig in de zelfde zin als het woordje onveilig NIET op windows sloeg.

  • Profielfoto
    essiw

    ^Geen flauw idee waar je het over hebt, dit gaat over een SSL bug, niet over apple. Kan apple niks aan doen. Dit gaat over servers van websites. Wat wil je dat apple gaat doen aan servers van websites die niet van apple zijn?

  • Profielfoto
    sciletto

    De reden dat het voor hackers interessant wordt is omdat ons hele leven digitaal wordt. De toekomst zag er in de jaren ’90 heel mooi uit voor internet, internet zou ons connecten met elkaar en zou mogelijkheden scheppen zoals we die in science fiction films zagen.

    Dit beeld vertroebeld steeds meer en meer nu je ziet dat mensen juist opgesloten raken door social media en vooral de veiligheid met geld niet zo veilig blijkt te zijn. Hoeveel mensen raken wel niet gedupeerd van oplichtingen via mails en webshops:(

  • Profielfoto
    hendrik ijzerbroot

    NOS.nl weet te melden dat in ieder geval de Nederlandse banken het lek gedicht hebben.

  • Profielfoto
    knekkie

    @essiw Dan heb ik het verkeerd begrepen

  • Profielfoto
    Raymon

    Update in artikel: A-Mac en Leapp hebben laten weten het lek ook gedicht te hebben.

  • Profielfoto
    essiw

    @knekkie:) dat snapte ik, ik zie net dat ik de woorden “Ik heb” niet heb getypt, nu lijkt het alsof ik zeg dat jij geen flauw idee hebt, maar ik bedoeld dat ik je reactie niet snapte;)