Критическая ошибка в GnuTLS позволяет совершать атаки на Linux и приложения

Обнаруженная недавно уязвимость в библиотеке шифрования GnuTLS (CVE-2014-3466) предоставила возможность для скрытой атаки со стороны вредоносного ПО на Linux и сотни других открытых приложений. Ошибку исправили в обновлении, выпущенном в конце прошлой недели.

Злонамеренно настроенные серверы могут использовать данную уязвимость, отправляя неверные данные на устройства при установлении зашифрованных HTTPS-соединений. Устройства, которые задействуют версию GnuTLS с ошибкой, впоследствии могут быть удалённо взломаны вредоносным кодом. Данная ошибка была исправлена в прошлую пятницу, 30-го мая, в версиях GnuTLS 3.1.25, 3.2.15 и 3.3.4. Может пройти достаточно длительное время, прежде чем все операционные системы получат и установят обновления.

Отдельный технический анализ показал, как уязвимость может быть использована для выполнения вредоносного кода по усмотрению атакующей стороны. Нет никаких очевидных признаков выполнения атаки, что позволяет делать скрытые атаки (так называемые «drive-by»). На текущий момент также нет информации о том, что данная уязвимость активно эксплуатируется в реальном мире — тем не менее, рекомендуется как можно быстрее принять меры по обновлению уязвимой версии GnuTLS.

Постоянная ссылка к новости: http://www.nixp.ru/news/12532.html. Никита Лялин по материалам arstechnica.com.